本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 變更管理模式
AWS Managed Services (AMS) 使用變更管理模式來保護 AMS Advanced 中的變更。變更管理模式可協助您維持環境的高操作標準,並控制風險並防止負面影響。AMS Advanced 有不同的模式,可提供不同層級的控制和風險。除了客戶受管模式之外,所有模式都由 AMS 管理。以下是可用的變更管理模式:
+ RFC 模式 (先前為標準 CM 模式):提供「變更請求」(RFC) 系統和 AMS 自訂變更類型 (CTs)
+ 直接變更模式:與 RFC 模式相同,加上使用 AWS APIs 和主控台來建立 AMS 受管資源
+ AMS 上的 AWS Service Catalog:類似於直接變更模式,但不是使用 AMS 變更管理系統 (RFCs),而是使用 AWS Service Catalog 來建立 AMS 接著管理的資源。
+ 開發人員模式:與直接變更模式相同,只有您使用 AWS APIs 和主控台建立的資源不受 AMS 管理 - 您要負責其管理
+ 自助服務佈建 (SSP) 模式:與開發人員模式相同,但無法存取 AMS 變更管理系統 (無 RFCs)
+ 客戶受管模式:AMS 為您提供多帳戶登陸區域登陸區域,但所有資源管理都是您的責任
AWS Managed Services (AMS) 變更管理系統使用變更管理 (CM) API,為多帳戶登陸區域 (MALZ) 和單一帳戶登陸區域 (SALZ) 帳戶提供建立和管理變更請求 (RFCs) 的操作。
變更請求 (RFC) 是您或 AMS 透過 AMS 界面建立的請求,用於對受管環境進行變更,並包含特定操作的變更類型 (CT) ID。
AMS 變更管理 (CM) API 提供建立和管理變更請求 (RFCs的操作。您可以建立、更新、提交、核准、拒絕和取消 RFCs。AMS 運算子可以建立、更新、提交、核准、拒絕、取消並將 RFCs標記為關閉。
如需不在標籤或其他名稱中使用的 AMS 預留字首清單,請參閱[預留字首](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html)。
如需每個變更類型的資訊,包括結構描述和範例,請參閱 [AMS 變更類型參考](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)。
**注意**
所有變更管理 API 呼叫都會記錄在 AWS CloudTrail 中。如需詳細資訊,請參閱[存取您的日誌](https://docs.aws.amazon.com/managedservices/latest/userguide/access-to-logs.html)。
# 模式概觀
使用此資訊來協助您選擇適當的 AWS Managed Services (AMS) 模式來託管您的應用程式,這取決於您實現業務成果所需的彈性和規範控管組合。
此資訊的目標對象為:
+ 客戶團隊負責其登陸區域的策略和管理。此資訊將協助團隊規劃 AMS 受管登陸區域的基礎,以及他們想要提供給其內部和外部客戶的 AMS 模式。
+ 負責將應用程式遷移至 AMS 的業務和應用程式擁有者。此資訊將有助於規劃應用程式遷移,並使用適當的 AMS 模式來遷移/託管其應用程式。請注意,相同的應用程式可以在其軟體開發生命週期 (SDLC) 生命週期的不同階段,以多個 AMS 模式託管。
+ AMS 合作夥伴的任務是引導客戶了解建置和遷移至 AMS 的不同選項。
在設定 AMS 受管平台的基礎階段,以及當您從基礎轉換到雲端採用之旅的遷移階段時,這些資訊最有用,就在加入 AMS 完成後,而且您專注於應用程式控管和操作。
# AMS 中模式和帳戶的類型
AWS Managed Services (AMS) 模式可以定義為在每種模式的特定控管架構下與 AMS 服務互動的方式。會記下登陸區域差異、多帳戶登陸區域或 MALZ 和單一帳戶登陸區域或 SALZ。
**注意**
如需應用程式部署和選擇正確 AMS 模式的詳細資訊,請參閱 [AMS 模式和應用程式或工作負載](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-apps-ug.html)。
如需不同模式的實際使用案例,請參閱 [AMS 模式的實際使用案例](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-use-cases.html)
下表提供每個 AMS 服務模式的說明。
| AMS 功能 | RFC 模式 (先前為標準 CM 模式)/OOD**\$1** | 直接變更模式 | AWS Service Catalog | 自助式佈建/開發人員模式 | 客戶受管 |
| --- | --- | --- | --- | --- | --- |
| 登陸區域組態 | MALZ 和 SALZ | MALZ 和 SALZ | MALZ 和 SALZ |
| 變更管理 | 變更排程、檢閱手動變更和變更記錄 | 與 RFC 模式相同,適用於高風險變更,例如 IAM 或安全群組 | 無 |
| 記錄、監控、護欄和事件管理 | 是 (支援的資源) | 否 |
| 持續性管理 | 是 (支援的資源) | 不適用/否 | 否 |
| 安全管理 | 執行個體層級安全控制和帳戶層級控制 | 帳戶層級控制 | AWS Org 層級控制 |
| 修補管理 | 是 | 不適用/否 | 否 |
| 事件和問題管理 | AMS 支援資源的回應和解析 SLA | 所產生資源的回應 SLA | 否 |
| 報告 | 是 | 否 |
| 服務請求管理 | 是 | 僅支援 請求 | 否 |
**\$1**隨需操作 (OOD) 提供客戶使用 RFC 模式,透過專用資源管理其變更。如需詳細資訊,請參閱 [ 方案的隨需操作目錄](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html),並與您的雲端服務交付管理員 (CSDM) 交談。
**注意**
[AMS 中的自助式佈建模式](self-service-provisioning-section.md) 和 [AMS 進階開發人員模式](developer-mode-section.md)似乎都適合根植於原生 AWS Services 的複雜架構的應用程式。架構工作負載時,您會根據您的業務環境,在卓越營運和敏捷性之間做出取捨。這是考慮為您的應用程式選取 SSP 模式或開發人員模式的好方法。選項也可能根據應用程式的 SDLC 階段而變更。例如:當應用程式為生產就緒時,SSP 模式可能會因為在此模式中的 AMS 護欄更嚴格,而成為更適當的選項。護欄是以預防性控制的形式強制執行,例如應用程式 OU 層級的 IAM 更新和 SCPs RFC 型變更控制。這些業務決策可以讓您了解工程設計的優先順序。您可以最佳化 ,以增加應用程式擁有者在「生產前」階段的彈性,而犧牲控管和營運支援。
## MALZ 架構和相關聯的 AMS 模式
AMS 多帳戶登陸區域 (MALZ) 可讓您選擇在預設組織單位 (OU):客戶受管 OU、受管 OU 或開發 OU 下自動佈建應用程式帳戶 (或資源帳戶)。在每個這些 OUs 下建立的應用程式帳戶中佈建的基礎設施,受限於這些基礎 OUs 提供的特定 AMS 模式。在同一個應用程式帳戶中尋找兩種或多種模式的混合是很常見的。例如:RFC 模式和 SSP 模式可以共存於託管由 API Gateway 和 Lambda 組成的管道架構的 AMS 受管帳戶中,用於觸發函數,以及用於擷取和協同運作的 EC2, S3 和 SQS。在此情況下,SSP 模式會套用至 Lambda 和 API Gateway。
圖 1 顯示如何在 AMS 中透過基礎 OUs 提供不同的模式。在 AMS 中請求新的應用程式帳戶時,您必須選取帳戶的 OU。
MALZ 架構和相關聯的 AMS 模式
![\[Diagram showing AWS 帳戶 structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/MALZ-high-level-(Mar2021).png)
AMS 利用以 AWS 最佳實務為基礎的基礎 OUs,做為使用服務控制政策 (SCPs) 邏輯管理帳戶的方法。這可做為對每個 AMS 模式強制執行控管架構的方法。套用至基礎 OUs 的任何控管和安全護欄 (以 SCPs 的形式) 也會自動套用至自訂/子 OUs。您可以為子 OUs 請求其他 SCPs。請務必了解應用程式帳戶與 模式不同。模式會套用至帳戶內佈建的基礎設施,並定義 AMS 與客戶之間的操作責任。
圖 1:MALZ 架構和相關聯的 AMS 模式
![\[Table comparing AMS modes, default governance controls, and support for customer-added controls.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/ams-modes-guardrails-dcm.png)
**注意**
「限制性」表示您可以為這些 OUs 請求自訂政策,這些政策由 AMS case-by-case核准,以確保它們不會干擾 AMS 提供卓越營運的能力。如需 AMS 護欄的詳細清單,請參閱《 使用者指南》中的 [AMS 護欄](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#detective-rules)。
# AMS 模式和應用程式或工作負載
選擇正確的模式時,請考慮應用程式的操作和管理需求,方法是請求新的應用程式帳戶,或在現有的應用程式帳戶中託管應用程式。為每個應用程式或工作負載選擇適當的 AMS 模式取決於下列因素:
+ 環境將提供的 SDLC 生命週期函數類型 (例如,具有未修改變更的沙盒、具有一些頻繁變更的 UAT、具有最少變更且受到高度管制的生產)
+ 所需的控管政策 (在 OU 層級透過 SCPs 強制執行)
+ 營運模式 (如果您想要承擔營運責任,或想要將其委外至 AMS)
+ 所需的業務成果,例如在雲端中操作的時間,以及操作成本。
**注意**
如需每個 AMS 服務的模式類型說明,請參閱 [AMS 中的模式和帳戶的類型](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-types.html)。
如需不同模式的實際使用案例,請參閱 [AMS 模式的實際使用案例](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-use-cases.html)
下表概述應用程式擁有者的關鍵考量事項,以協助決定最適合的 AMS 模式。應用程式擁有者應在應用程式遷移之前包含評估階段,以完全了解適用於其特定應用程式的模式。範例:對於以雲端原生服務或無伺服器架構為基礎的應用程式,最佳選項可能是開始在開發人員模式下建置和反覆運算,並使用 AMS Managed – SSP 模式將最終基礎設施部署為程式碼。在這種情況下,可能需要進行光線重構,以確保為自動化部署建立的任何 CloudFormation 範本都符合 AMS 制定的擷取準則。此外,任何 IAM 許可都需要 AMS Security 核准,以確保它們遵循最低權限模型。
選取來託管應用程式的 AMS 模式,可協助您建置所需的雲端操作模型。
**注意**
根據為託管應用程式選取的不同 AMS 模式,單一 AMS 受管登陸區域中可以存在多個雲端操作模型。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/ams-modes-and-apps-ug.html)
**\$1**隨需操作 (OOD) 提供客戶使用標準 CM 模式,透過專用資源管理其變更。如需詳細資訊,請參閱 [ 方案的隨需操作目錄](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html),並與您的雲端服務交付管理員 (CSDM) 交談。
**注意**
SSP 模式和開發人員模式之間的價格比較假設已佈建相同的 AWS 服務。
比較 AMS 模式與業務和 IT 目標
![\[Comparison of AMS modes showing governance and flexibility against time to operationalize.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/ams-modes-choosing-dcm.png)
如所示,如果您要為應用程式尋找高度受控和標準化的控管模型,則 AMS 受管的標準變更、AWS Service Catalog 或直接變更模式是最適合的。如果您需要專注於應用程式創新的自訂控管模型,而不需要操作準備,請選取客戶受管模式。使用客戶受管模式,當您負責建立人員、程序和工具以支援操作功能時,可能需要更長的時間來操作應用程式,例如事件管理、組態管理、佈建管理、安全管理、修補程式管理等。
# AMS 模式的真實使用案例
檢查這些項目,以協助判斷如何使用 AMS 模式。
+ **使用案例 1,透過時間敏感的資料中心退出來降低成本的必要業務**:具有吸引人業務事件的企業,例如資料中心退出,有興趣在雲端上重新託管其內部部署應用程式。大多數現場部署庫存都由 Windows 和 Linux 伺服器組成,並混合作業系統版本。如此一來,客戶也想要利用遷移到雲端提供的成本節省,並改善其應用程式的技術和安全狀態。客戶想要快速移動,但尚未建置內部雲端操作專業知識。客戶必須找到重構的平衡,太多重構可能會對緊迫的時間軸造成風險。不過,透過一些重構,例如更新作業系統版本和最佳化資料庫,應用程式可以實現更高水準的效能。在此範例中,客戶可以選擇 AMS 受管 RFC 模式來重新託管大部分的應用程式。AMS 提供基礎設施操作,同時引導客戶操作團隊在雲端中安全操作的最佳實務。
AMS 受管 AWS Service Catalog 和 AMS 受管直接變更模式可為客戶提供額外的靈活性,同時實現相同的業務成果和目標。此外,客戶可以使用 AMS Operations On Demand (OOD) 產品,讓專用 AMS 操作工程師優先執行變更請求 (RFCs)。
將未差異化的基礎設施操作任務 (修補、備份、帳戶管理等) 卸載至 AMS 時,客戶可以繼續專注於最佳化其應用程式,並在雲端操作上提升其內部團隊。AMS 會每月向客戶提供節省成本的報告,並針對資源最佳化提出建議。在此使用案例中,如果在 Windows 2003 和 2008 等舊版作業系統上託管end-of-life應用程式,而客戶決定不重構,則這些應用程式也可以遷移到 AMS 並託管在利用客戶受管模式的帳戶。
+ **使用案例 2,在安全的 AMS 界限內使用 Lambda、Glue、Athena 建置資料湖**:企業希望設定 Data Lake,以滿足 AMS 中多個應用程式的報告需求。客戶想要使用 S3 儲存貯體來儲存資料集,而 AWS Athena 會針對每個報告的資料集進行查詢。S3 和 AWS Athena 將部署在不同的 AMS 受管帳戶中。使用 S3 的帳戶也有其他服務,例如 Glue、Lambda 和 Step Functions,以建置資料擷取管道。在這種情況下,Glue、Lambda、Athena 和 Step Functions 被視為自助式佈建 (SSP) 服務。客戶也在帳戶中部署 EC2 執行個體,做為臨機操作工具/指令碼伺服器。客戶從請求 AMS 在其 AMS 受管帳戶中啟用 SSP 服務開始。AMS 會為客戶可擔任的每個服務佈建 IAM 角色,一旦該角色加入到客戶的聯合解決方案。為了方便管理,客戶也可以將個別 IAM 角色的政策合併為一個自訂角色,減輕在 AWS 服務之間工作時切換角色的需求。在帳戶中啟用角色後,客戶就可以根據其需求設定服務。不過,客戶必須使用 AMS 變更管理系統來請求其他許可,視其使用案例而定。
例如,若要存取 Glue 爬蟲程式,Glue 需要額外的許可。還需要其他許可才能建立 Lambda 的事件來源。客戶將使用 AMS 更新 IAM 角色,以允許 Athena 跨帳戶存取查詢 S3 儲存貯體。還需要透過 Lambda 的 AMS 變更管理更新服務角色或服務連結角色,以呼叫 Step Functions 服務,以及透過 Glue 讀取和寫入所有 S3 儲存貯體。AMS 與客戶合作,確保遵循最低權限的存取模型,並且請求的 IAM 變更不會過度寬鬆,並使環境面臨不必要的風險。客戶的資料湖團隊會花費時間規劃客戶架構特定服務所需的所有 IAM 許可,並請求 AMS 啟用這些許可。這是因為所有 IAM 變更都會手動處理,並經過 AMS 安全團隊的審核。應用程式部署排程中應考量處理這些請求的時間。
由於 SSP 服務在帳戶中運作,客戶可以透過 AMS 事件管理和服務請求請求支援和報告問題。不過,AMS 不會主動監控 Lambda 的效能和並行指標,或 Glue 的工作指標。客戶有責任確保為 SSP 服務啟用適當的記錄和監控。帳戶中的 EC2 執行個體和 S3 儲存貯體完全由 AMS 管理。
+ **使用案例 3,在 AMS 中快速且靈活地設定 CICD 部署管道**:客戶希望設定以 Jenkins 為基礎的 CICD 管道,將程式碼管道部署到 AMS 中的所有應用程式帳戶。客戶可能會發現它最適合在 AMS 受管直接變更模式 (DCM) 或 AMS 受管開發人員模式下託管此 CICD 管道,因為它可靈活地在 EC2 上設定具有所需自訂組態的 Jenkins 伺服器,並具有所需的 IAM 許可來存取 CloudFormation 和託管成品儲存庫的 S3 儲存貯體。雖然這也可以在 AMS 受管 RFC 模式中完成,但客戶團隊需要為 IAM 角色建立多個手動 RFCs,以針對 AMS 手動檢閱的最低許可集進行反覆運算。DCM 可讓客戶在 AWS 上實現其營運目標,同時避免在使用 AMS 受管 RFCs 模式時為 IAM 角色建立多個手動 RFC 的需求,以針對 AMS 手動檢閱的最低寬鬆許可集進行反覆運算。這需要時間和客戶方面的教育,才能提升 AMS 程序和工具。使用開發人員模式,客戶可以從「開發人員角色」開始,使用原生 AWS APIs 佈建基礎設施。設定此管道最快速且最靈活的方法是使用 AMS Managed-Developer 模式。開發人員模式提供最快速且最簡單的方式,同時犧牲操作整合,而 DCM 的靈活性較低,但確實提供與 RFC 模式相同的操作支援層級。
+ **使用案例 4,AMS 基礎中的自訂操作模型**:客戶正在查看截止日期驅動的資料中心退出,且其其中一個企業應用程式完全由第三方 MSP 管理,包括應用程式操作和基礎設施操作。假設客戶沒有時間重新考慮此應用程式,因此可以由 AMS 操作,則客戶受管模式是適合的選項。客戶可以利用 AMS 受管登陸區域的自動化和快速設定。他們可以利用集中式帳戶管理,透過集中式聯網帳戶控制帳戶販賣和連線。它還透過 AMS Payer 帳戶合併所有客戶受管帳戶的費用,以簡化其帳單。客戶可以靈活地設定其自訂存取管理模型,其 MSP 與用於 AMS 受管帳戶的標準存取管理不同。如此一來,使用客戶受管模式,他們可以設定 AMS 受管環境,同時滿足清空內部部署環境的業務需求。在此情況下,如果客戶也有要遷移至雲端的 Windows 應用程式,並選擇將他們移至客戶受管帳戶,則客戶必須負責建立雲端操作模型。視客戶轉換傳統 IT 程序及訓練人員的能力而定,這可能會複雜、昂貴且耗時。客戶可以透過將此類工作負載「抬高和轉移」到 AMS 受管帳戶,並將基礎設施操作卸載到 AMS 來節省時間和成本。
**注意**
客戶有時可能會覺得需要在 RFC 或 SSP 模式的控管架構與開發人員模式之間移動應用程式帳戶。例如,客戶可以在 AMS 受管模式下託管應用程式,做為初始提升和轉移遷移的一部分,但加班想要重新寫入應用程式,以針對雲端原生 AWS 服務將其最佳化。他們可以將生產前帳戶的模式從 AMS 受管 RFC 變更為 AMS 受管開發人員模式,為他們提供佈建基礎設施的靈活性和敏捷性。不過,一旦使用「開發人員角色」進行基礎設施佈建變更,相同的基礎設施就無法移回 AMS 受管 RFC 模式。這是因為 AMS 無法保證在 AMS 變更管理系統之外佈建的基礎設施操作。客戶可能需要建立新的應用程式帳戶,以提供 AMS 受管 RFC 模式,然後透過 CloudFormation 範本或擷取至 AMS 受管帳戶的自訂 AMIs 重新部署「最佳化」基礎設施組態。這是部署生產就緒組態的乾淨方法。部署後,應用程式將受到規範的 AMS 控管和操作。這同樣適用於客戶受管模式和 AMS 受管模式之間的切換模式。
# RFC 模式
RFC 模式是 AMS Advanced 操作計劃客戶的預設模式。其中包括變更管理系統,其中包含變更或 RFCs的請求,以及變更類型的目錄,可用來請求對帳戶新增或變更所需的變更。此變更管理系統提供安全層級,以限制誰可以變更您的帳戶。
如需 AMS 進階變更類型的詳細資訊,請參閱[什麼是 AMS 變更類型?](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)。
如需加入 AMS Advanced 的詳細資訊,請參閱 [AWS Managed Services 加入簡介](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/index.html)。
如需變更類型範例演練,請參閱 *AMS 進階變更類型參考依分類*[變更](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html)類型一節中相關變更類型的「其他資訊」一節。
**注意**
RFC 模式先前稱為「變更管理模式」或「標準 CM 模式」。
**Topics**
+ [了解 RFCs](ex-rfc-works.md)
+ [什麼是變更類型?](understanding-cts.md)
+ [針對 AMS 中的 RFC 錯誤進行故障診斷](rfc-troubleshoot.md)
# 了解 RFCs
變更請求或 RFCs 會以兩倍的方式運作。首先,RFC 本身需要參數。這些是 `CreateRfc` API 中的選項。其次,RFC 的動作需要參數 (執行參數)。若要了解`CreateRfc`選項,請參閱 *AMS API 參考*的 [CreateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html) 一節。這些選項通常會出現在建立 RFC 頁面**的其他組態**區域中。
您可以使用 `CreateRfc` API、CLI 或使用 AMS `aws amscm create-rfc` 主控台建立 RFC 頁面來建立和提交 RFC。如需建立 RFC 的教學課程,請參閱 [建立 RFC](ex-rfc-create-col.md)。
**Topics**
+ [什麼是 RFCs?](what-r-rfcs.md)
+ [使用 AMS API/CLI 進行身分驗證](ex-rfc-authentication.md)
+ [了解 RFC 安全性審查](rfc-security.md)
+ [了解 RFC 變更類型分類](ex-rfc-csio.md)
+ [了解 RFC 動作和活動狀態](ex-rfc-action-state.md)
+ [了解 RFC 狀態碼](ex-rfc-status-codes.md)
+ [了解 RFC 更新 CTs和 CloudFormation 範本偏離偵測](ex-rfc-updates-and-dd.md)
+ [排程 RFCs](ex-rfc-scheduling.md)
+ [核准或拒絕 RFCs](ex-rfc-approvals.md)
+ [請求 RFC 限制執行期間](ex-rfc-restrict-execute.md)
+ [建立、複製、更新、尋找和取消 RFCs](ex-rfc-use-examples.md)
+ [搭配 RFCs 使用 AMS 主控台](ex-rfc-gui.md)
+ [了解常見的 RFC 參數](rfc-common-params.md)
+ [註冊 RFC 每日電子郵件](rfc-digest.md)
# 什麼是 RFCs?
變更請求或 RFC 是您在 AMS 受管環境中進行變更的方式,或要求 AMS 代表您進行變更的方式。若要建立 RFC,您可以選擇 AMS 變更類型、選擇 RFC 參數 (例如排程),然後使用 AMS 主控台或 API 命令 [CreateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html) 和 [SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html) 提交請求。
RFC 包含兩個規格,一個用於 RFC 本身,另一個用於變更類型 (CT) 參數。在命令列,您可以使用內嵌 RFC 命令或 JSON 格式的標準 CreateRfc 範本,該範本是您填寫並提交的,以及您建立的 CT JSON 結構描述檔案 (根據 CT 參數)。CT 名稱是 CT 的非正式描述。CSIO (類別、子類別、項目、操作) 是 CT 的更正式描述。建立 RFC 時,只能指定 CT ID。
RFCs會經歷兩個關鍵階段:驗證和執行。
1. 在驗證階段中,AMS 會檢閱 RFC 請求的完整性和正確性。AMS 也會根據我們的安全[技術標準](rfc-security.md#rfc-security.title)來評估安全請求。AMS 會驗證請求的變更是否有效且可執行。
1. 在執行階段中,AMS 會嘗試對您的帳戶進行請求的變更。
AMS 透過自動化程序、手動程序或兩者的組合來處理這兩個階段。手動程序由 AMS Operations 團隊處理。如需詳細資訊,請參閱[自動化和手動 CTs](ug-automated-or-manual.md)。
AMS 提供三種處理請求的執行模式:
+ **(AMS 建議) 執行模式:自動化**。這些 CTs使用自動化進行 RFC 驗證和執行,這是實現業務成果的最快速方法。
+ **(AMS 建議) 執行模式:手動和指定:受管自動化**。這些 CTs使用自動化和手動程序的組合來進行 RFC 驗證和執行。如果自動化無法執行您請求的變更,則會將 RFC (透過自動路由或建立替代 RFC) 傳輸至 AMS 操作團隊以進行手動處理。提交這些 CTs可讓您更結構化地接收請求,並輔以 AMS 自動化,以改善處理和執行結果時間範圍。
+ **執行模式:手動和指定:需要檢閱**。透過 [ct-1e1xtak34nx76 管理請求的變更 \$1 其他 \$1 其他 \$1 更新 (需要檢閱)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-update-review-required.html) 或 [ct-0xdawir96cy7k 管理 \$1 其他 \$1 其他 \$1 建立 (需要檢閱)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-create-review-required.html)。這些 CTs 依賴手動處理進行驗證和執行。這些 CTs取決於變更請求的手動解釋。
當變更成功完成 (成功) 或失敗 (失敗) 時,AMS 會通知您。
**注意**
如需 RFC 失敗疑難排解的資訊,請參閱 [針對 AMS 中的 RFC 錯誤進行故障診斷](rfc-troubleshoot.md)。
下圖說明您提交的 RFC 工作流程。
![\[客戶提交 RFC 的工作流程。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/requestForChange-v5g.png)
# 使用 AMS API/CLI 進行身分驗證
使用 AMS API/CLI 時,您必須使用臨時憑證進行身分驗證。若要請求聯合身分使用者的臨時安全登入資料,請 cal [ GetFederationToken](https://docs.aws.amazon.com/STS/latest/UsingSTS/CreatingFedTokens.html)、[AssumeRole](https://docs.aws.amazon.com/STS/latest/UsingSTS/sts_delegate.html)、[AssumeRoleWithSAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithsaml) 或 [ AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithwebidentity) AWS 安全字符服務 (STS) APIs。
常見的選擇是 SAML。設定之後,您會將 引數新增至您呼叫的每個操作。例如:`aws --profile saml amscm list-change-type-categories`。
SAML 2.0 設定檔的捷徑是在每個 API/CLI 開始時使用 設定設定檔變數 `set AWS_DEFAULT_PROFILE=saml`(對於 Windows;對於 Linux,則為 `export AWS_DEFAULT_PROFILE=saml`)。如需設定 CLI 環境變數的詳細資訊,請參閱[設定 AWS 命令列界面、環境變數](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-environment)。
# 了解 RFC 安全性審查
AWS Managed Services (AMS) 變更管理核准程序可確保我們對您帳戶中所做的變更執行安全審查。
AMS 會根據 AMS 技術標準評估所有變更請求 (RFCs)。任何可能因為偏離技術標準而降低您帳戶安全性狀態的變更,都會經過安全性審查。在安全性審查期間,AMS 會強調相關風險,並且在高或極高安全性風險的情況下,您的授權安全人員會接受或拒絕 RFC。也會評估所有變更,以評估對 AMS 操作能力的負面影響。如果發現潛在的負面影響,則需要在 AMS 內進行額外的審核和核准。
## AMS 技術標準
AMS 技術標準定義最低安全標準、組態和程序,以建立帳戶的基準安全性。AMS 和您都必須遵循這些標準。
任何可能因為偏離技術標準而降低您帳戶安全狀態的變更,都會經過風險接受程序,其中 AMS 會反白顯示相關風險,並由授權安全人員從您端接受或拒絕。也會評估所有此類變更,以評估是否對 AMS 操作帳戶的能力有任何負面影響,如果是,則需要在 AMS 內進行額外的審核和核准。
## RFC 客戶安全風險管理 (CSRM) 程序
當您的組織某人請求變更您的受管環境時,AMS 會檢閱變更,以判斷請求是否會因超出技術標準而使帳戶的安全狀態惡化。如果請求確實降低了帳戶的安全狀態,AMS 會向您的安全團隊聯絡人通知相關風險,並執行變更;或者,如果變更在環境中帶來高或非常高的安全風險,則 AMS 會以風險接受的形式向您的安全團隊聯絡人尋求明確核准 (接下來說明)。AMS 客戶風險接受程序旨在:
+ 確保明確識別風險並傳達給正確的擁有者
+ 將已識別的環境風險降至最低
+ 從了解組織風險設定檔的指定安全聯絡人取得並記錄核准
+ 降低已識別風險的持續營運開銷
## 如何存取技術標準和高風險或極高風險
我們已提供 AMS 技術標準文件供您在 [https://console.aws.amazon.com/artifact/](https://console.aws.amazon.com/artifact/) 中做為報告參考。使用 AMS 技術標準文件,了解在提交變更請求 (RFC) 之前,變更是否需要您的授權安全聯絡人接受風險。
使用預設 AWS Managed Services (AMS) 技術標準」,以尋找技術標準報告。 AWS Artifact **** **AWSManagedServicesChangeManagementRole**
**注意**
單一帳戶登陸區域中的 Customer\$1ReadOnly\$1Role 可存取 AMS 技術標準文件。在多帳戶登陸區域中,安全管理員使用的 AWSManagedServicesAdminRole 和應用程式團隊使用的 AWSManagedServicesChangeManagementRole 可用來存取文件。如果您的團隊使用自訂角色,請建立其他 \$1 其他 RFC 來請求存取權,我們將更新指定的自訂角色。
# 了解 RFC 變更類型分類
您在提交 RFC 時使用的變更類型分為兩個廣泛的類別:
+ **部署**:此分類用於建立 資源。
+ **管理**:此分類用於更新或刪除資源。Management ****類別也包含存取執行個體、加密或共用 AMIs,以及啟動、停止、重新啟動或刪除堆疊的變更類型。
# 了解 RFC 動作和活動狀態
`RfcActionState` (API) / **活動狀態** (主控台) 可協助您了解 RFC 上人工介入或動作的狀態。主要用於手動 RFCs,`RfcActionState`可協助您了解您或 AMS 操作何時需要採取動作,並協助您了解 AMS 操作何時正在積極處理 RFC。這可提高 RFC 在其生命週期內所採取動作的透明度。
`RfcActionState` (API)/**活動狀態** (主控台) 定義:
+ **AwsOperatorAssigned**:AWS 運算子正在積極處理您的 RFC。
+ **AwsActionPending**:預期來自 AWS 的回應或動作。
+ **CustomerActionPending**:預期來自客戶的回應或動作。
+ **NoActionPending**:AWS 或客戶不需要採取任何動作。
+ **NotApplicable**:此狀態無法由 AWS 運算子或客戶設定,且僅用於在釋出此功能之前建立RFCs。
RFC 動作狀態會根據提交的變更類型是否需要手動檢閱,且排程是否設定為 **ASAP** 而有所不同。
+ RFC **ActionState** 在檢閱、核准和啟動具有延遲排程的手動變更類型期間變更:
+ 在您提交手動、排程的 RFC 之後,**ActionState** 會自動變更為 **AwsActionPending**,以指出操作員需要檢閱和核准 RFC。
+ 當運算子開始主動檢閱 RFC 時,**ActionState** 會變更為 **AwsOperatorAssigned**。
+ 當運算子核准您的 RFC 時,RFC 狀態會變更為已排程,而 **ActionState** 會自動變更為 **NoActionPending**。
+ 達到 RFC 的排程開始時間時,RFC 狀態會變更為 **InProgress**,而 **ActionState** 會自動變更為 **AwsActionPending**,表示需要指派運算子來檢閱 RFC。
+ 當運算子開始主動執行 RFC 時,他們會將 **ActionState** 變更為 **AwsOperatorAssigned**。
+ 完成後,運算子會關閉 RFC。這會自動將 **ActionState** 變更為 **NoActionPending**。
![\[在檢閱、核准和啟動具有延遲排程的手動變更類型期間,RFC ActionState 變更\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/actionStateRfc.png)
**重要**
您無法設定動作狀態。它們會根據 RFC 中的變更自動設定,或由 AMS 運算子手動設定。
如果您將通訊新增至 RFC,**ActionState** 會自動設定為 **AwsActionPending**。
建立 RFC 時,**ActionState** 會自動設定為 **NoActionPending**。
提交 RFC 時,**ActionState** 會自動設定為 **AwsActionPending**。
當 RFC 遭到拒絕、取消或完成且狀態為成功或失敗時,**ActionState** 會自動重設為 **NoActionPending**。
動作狀態會同時針對自動和手動 RFCs 啟用,但對於手動 RFCs 來說主要很重要,因為這類 RFCs通常需要通訊。
# 檢閱 RFC 動作狀態使用案例範例
**使用案例:手動 RFC 程序的可見性**
+ 提交手動 RFC 後,RFC 動作狀態會自動變更為 `AwsActionPending` ,表示操作員需要檢閱和核准 RFC。當運算子開始主動檢閱 RFC 時,RFC 動作狀態會變更為 `AwsOperatorAssigned`。
+ 請考慮已獲核准並排定且已準備好開始執行的手動 RFC。一旦 RFC 狀態變更為 `InProgress`,RFC 動作狀態會自動變更為 `AwsActionPending`。當運算子開始主動執行 RFC `AwsOperatorAssigned` 時,它會再次變更為 。
+ 手動 RFC 完成時 (關閉為「成功」或「失敗」),RFC 動作狀態會變更為 `NoActionPending`,表示客戶或運算子不需要進一步的動作。
**使用案例:RFC 通訊**
+ 當手動 RFC 為 時`Pending Approval`,AMS Operator 可能需要您提供進一步的資訊。運算子會將通訊發佈至 RFC,並將 RFC 動作狀態變更為 `CustomerActionPending`。當您透過新增 RFC 通訊來回應時,RFC 動作狀態會自動變更為 `AwsActionPending`。
+ 當自動或手動 RFC 失敗時,您可以將通訊新增至 RFC 詳細資訊,向 AMS Operator 詢問 RFC 失敗的原因。新增通訊時,RFC 動作狀態會自動設定為 `AwsActionPending`。當 AMS 運算子挑選 RFC 以檢視您的通訊時,RFC 動作狀態會變更為 `AwsOperatorAssigned`。當運算子透過新增 RFC 通訊來回應時,RFC 動作狀態可能會設定為 `CustomerActionPending`,表示客戶預期有另一個回應,或 `NoActionPending`,表示不需要或預期客戶的任何回應。
# 了解 RFC 狀態碼
RFC 狀態碼可協助您追蹤請求。您可以在 CLI 輸出中的 RFC 執行期間觀察這些狀態碼,或在主控台中重新整理 RFC 清單頁面。
您也可以在 RFC 的詳細資訊頁面上查看 RFC 的代碼,這可能如下所示:
![\[RFC 狀態碼。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/guiRfcStatusCodes.png)
您可能會在清單中看到您未提交的 RFC。當 AMS 運算子使用僅限內部的 CT 時,他們會在 RFC 中提交它,並顯示在 RFC 清單中。如需詳細資訊,請參閱[僅限內部的變更類型](ct-internals.md)。
**重要**
您可以請求 RFC 狀態變更的通知。如需詳細資訊,請參閱 [RFC 狀態變更通知](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html)。
**RFC 狀態碼**
| 成功 | 失敗 |
| --- | --- |
| 編輯:RFC 已建立但未提交 PendingApproval / Submitted:已提交 RFC,系統正在判斷是否需要核准,並視需要取得該核准 AWS 核准/客戶核准:RFC 已核准。自動化 RFCs 由 AWS 核准,手動 RFCs 由 Operators 核准,有時由客戶核准 已排程:RFC 已通過語法和需求檢查,並排定執行 InProgress:RFC 正在執行中,請注意,佈建多個資源或具有長時間執行 UserData RFCs 需要更長的時間才能執行 已執行:已執行 RFC 成功/成功:RFC 已成功完成 | 拒絕:RFCs通常會因為驗證失敗而遭到拒絕;例如,指定了無法使用的資源,即子網路 已取消:RFCs通常會因為在設定的開始時間之前未通過驗證而取消 失敗:RFC 失敗;如需失敗原因,請參閱輸出中的 StatusReason,AMS 操作會自動建立故障票證並視需要與您通訊 |
**注意**
取消或拒絕RFCs 可以使用 [UpdateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRfc.html) 重新提交;另請參閱 [更新 RFCs](ex-update-rfcs.md)。
如果 RFC 通過所有必要條件 (例如,指定所有必要參數),狀態會變更為 `PendingApproval`(即使自動化 CTs 也需要核准,如果語法和參數檢查通過,也會自動發生)。如果未通過,狀態會變更為 `Rejected`。`StatusReason` 提供有關拒絕的資訊; `ExecutionOutput` 欄位提供有關核准和完成的資訊。錯誤代碼包括:
+ InvalidRfcStateException:RFC 處於不允許呼叫操作的狀態。例如,如果 RFC 已移至提交狀態,就無法再修改。
+ InvalidRfcScheduleException:已違反 StartTime、EndTime 或 TimeoutInMinutes 參數。
+ InternalServerError:系統發生問題。
+ InvalidArgumentException:未正確指定參數;例如,使用無法接受的值。
+ ResourceNotFoundException:找不到堆疊 ID 等值。
如果排定的請求開始和結束時間 (也稱為變更執行時段) 在核准變更之前發生,RFC 狀態會變更為 `Canceled`。如果變更獲得核准,RFC 狀態會變更為 `Scheduled`。ASAP RFCs 的變更執行時段是提交的時間加上 CT `ExpectedExecutionDuration`的值。
在變更執行時段到達前的任何時候,都可以修改或取消排定的變更 (在 CLI `RequestedStartTime`中使用 提交)。如果已修改排程變更,則必須重新提交。
當變更開始時間到達 (排程或 ASAP) 且核准完成後,狀態會變更為 `InProgress`且無法進行任何修改。如果在指定的變更執行時段內完成變更,狀態會變更為 `Success`。如果變更的任何部分失敗,或在變更執行時段結束時變更仍在進行中,狀態會變更為 `Failure`。
**注意**
在 `InProgress`、 `Success`或 `Failure`變更狀態期間,無法修改或取消 RFC。
下圖說明從 CreateRFC 呼叫到解析的 RFC 狀態。
![\[從 CreateRFC 呼叫到解析的 RFC 狀態。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/RfcStateFlow2.png)
# 了解 RFC 更新 CTs和 CloudFormation 範本偏離偵測
在 AMS 中佈建的資源使用修改過的 CloudFormation 範本。如果資源直接透過服務的 AWS 管理主控台變更參數,則該資源的 CloudFormation 建立記錄會變得不同步。如果發生這種情況,且您嘗試使用 AMS 更新變更類型來更新 AMS 中的資源,則 AMS 會參考原始資源組態,並可能重設變更的參數。此重設可能會損壞,因此如果偵測到任何額外的 AMS 組態變更,AMS 會不允許具有更新變更類型的 RFCs。
如需更新變更類型的清單,請使用 主控台篩選條件。
## 漂移修復FAQs
AMS 偏離修復的問題和答案。您可以使用兩種變更類型來啟動偏離修復,一種是執行模式=手動或「受管自動化」,另一種是執行模式=自動化。
### 漂移修復支援的資源 (ct-3kinq0u4l33zf)
這些是漂移修復變更類型 (ct-3kinq0u4l33zf) 支援的資源。 若要修復任何資源,請改用「受管自動化」(ct-34sxfo53yuzah) 變更類型。
```
AWS::EC2::Instance
AWS::EC2::SecurityGroup
AWS::EC2::VPC
AWS::EC2::Subnet
AWS::EC2::NetworkInterface
AWS::EC2::EIP
AWS::EC2::InternetGateway
AWS::EC2::NatGateway
AWS::EC2::NetworkAcl
AWS::EC2::RouteTable
AWS::EC2::Volume
AWS::AutoScaling::AutoScalingGroup
AWS::AutoScaling::LaunchConfiguration
AWS::AutoScaling::LifecycleHook
AWS::AutoScaling::ScalingPolicy
AWS::AutoScaling::ScheduledAction
AWS::ElasticLoadBalancing::LoadBalancer
AWS::ElasticLoadBalancingV2::Listener
AWS::ElasticLoadBalancingV2::ListenerRule
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::CloudWatch::Alarm
```
### 偏離修復變更類型
有關使用 AMS 偏離修復變更類型的問題和答案。
如需偏離修補功能的支援資源清單,請參閱 [漂移修復支援的資源 (ct-3kinq0u4l33zf)](#drift-remeditate-faqs-sr)。
**重要**
漂移修復會修改堆疊範本和/或參數,而且必須更新本機範本儲存庫或更新這些堆疊的任何自動化,才能使用最新的堆疊範本和參數。使用舊範本和/或參數而不同步可能會導致基礎資源的變更受損。
沒有受管自動化的 CT (ct-3kinq0u4l33zf) 支援每個 RFC 僅修復 10 個資源。若要以 10 個批次修復剩餘的資源,請建立新的 RFCs,直到所有資源都修復為止。
我應該使用哪種偏離修復變更類型?
我們建議在以下情況下使用**無受管自動化**的自動化 CT (ct-3kinq0u4l33zf):
+ 您嘗試使用自動化 CT 執行現有堆疊資源的更新,而 RFC 會被拒絕,因為堆疊是 `DRIFTED`。
+ 您過去曾使用更新 CT,但因為堆疊已 DRIFTED 而失敗。您不需要再次嘗試更新,可以改用受管自動化、手動、CT。
我們建議只在漂移修復不支援漂移資源類型時,才使用**受管自動化**、手動 CT (ct-34sxfo53yuzah),沒有受管自動化、自動化、CT (ct-3kinq0u4l33zf),或者漂移修復沒有受管自動化、自動化、CT 失敗時。
修補期間對堆疊執行哪些變更?
修復需要更新堆疊範本和/或參數,具體取決於漂移的屬性。修補也會在修補期間更新堆疊的堆疊政策,並在修補完成後將堆疊政策還原至先前的值。
如何查看對堆疊範本和/或參數執行的變更?
在 RFC 的回應中,會提供變更摘要,其中包含下列資訊:
+ `ChangeSummaryJson`:包含堆疊範本和/或參數的變更摘要,作為偏離修復的一部分。修復會以多個階段執行。此變更摘要包含個別階段的變更。如果修復成功,請檢查最後一個階段的變更。如需依順序執行的階段,請參閱 JSON 中的 ExecutionPlan。例如,存在時的 RestoreReferences 區段一律在結尾執行,並包含修正後變更的 JSON。如果修復是在 DryRun 模式下執行,則這些變更都不會套用至堆疊。
+ `PreRemediationStackTemplateAndConfigurationJson`:在堆疊上觸發修復之前,包含 CloudFormation Stack 的組態快照,包括範本、參數、輸出、StackPolicyBody。
執行修復之後,我需要做什麼?
您需要使用 RFC 摘要中提供的最新範本和參數,來更新本機範本儲存庫或任何會更新修復堆疊的自動化。請務必這麼做,因為使用舊範本和/或參數可能會對堆疊資源造成進一步的破壞性變更。
在此修復期間,我的應用程式是否會生效?
修復是一種離線程序,僅在 CloudFormation 堆疊組態上執行。不會對基礎資源執行更新。
在修復之後,我可以繼續使用管理 \$1 其他 \$1 其他 RFCs 對資源執行更新嗎?
我們建議您一律使用可用的自動更新 CTs執行堆疊資源的更新。當可用的更新 CTs不支援您的使用案例時,請使用管理 \$1 其他 \$1 其他請求。
修補是否在堆疊中建立新的資源?
修復不會在堆疊中建立新的資源。不過,修補會建立新的輸出並更新堆疊範本[中繼資料](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/metadata-section-structure.html)區段,以存放修補摘要供您參考。
修復是否一律成功?
修復需要仔細分析和驗證範本組態,以判斷是否可以執行。在這些驗證失敗的情況下,修復程序會停止,且堆疊範本或參數不會進行任何變更。此外,只能對支援的資源類型執行修復。
如果修復不成功,如何執行堆疊資源的更新?
您可以使用 管理 \$1 其他 \$1 其他 \$1 更新 CT (ct-0xdawir96cy7k) 來請求變更。AMS 會監控這類案例,並致力於改善修補解決方案。
我可以修復同時具有支援和不支援資源類型的堆疊嗎?
是。不過,只有在堆疊中找到支援的資源類型 DRIFTED 時,才會執行修復。如果任何不支援的資源類型為 DRIFTED,則不會繼續修復。
對於透過非 CFN 擷取 CTs 建立的堆疊,我可以請求修復嗎?
是。無論用於建立堆疊的變更類型為何,都可以在堆疊上執行修補。
我是否可以知道在修復之前將對堆疊執行的變更?
是。這兩種變更類型都提供 **DryRun** 選項,您可以用來請求在堆疊修復時執行的變更。不過,最終修復變更可能會因修復時堆疊上存在的偏離而有所不同。
# 排程 RFCs
**排程**功能可讓您選擇 RFCs的開始時間。下列選項可在 **排程功能**中使用:
+ **盡快執行此變更**:一旦核准,AMS 就會執行 RFC。大多數 CTs都會自動核准。如果不希望 RFC 在特定時間啟動,請使用此選項。
+ **排程此變更**:設定要執行 RFC 的日期、時間和時區。對於自動變更類型,最佳實務是在您計劃提交 RFC 至少 10 分鐘後請求開始時間。對於受管自動化變更類型,您必須在計劃提交 RFC 至少 24 小時後請求開始時間。如果設定的開始時間未核准 RFC,則會拒絕 RFC。
## 設定 RFC 排程
若要排程 RFC,請使用下列其中一種方法:
**盡快執行此變更**:
+ 主控台:不執行任何動作。這會使用預設 RFC 排程。
+ API 或 CLI:移除建立 RFC 操作中的 `RequestedStartTime`和 `RequestedEndTime`選項。
如果 RFCs提交後的三十天內未獲得核准,即會自動拒絕**。**
**排程此變更**:
+ 主控台:選取**排程此變更**選項按鈕。**開始時間**區域隨即開啟。手動輸入一天,或使用行事曆小工具來挑選一天。以 UTC 輸入以 ISO 8601 格式表示的時間,並使用下拉式清單來挑選位置。根據預設,AMS 使用 ISO 8601 格式 YYYYMMDDThhmmssZ 或 YYYY-MM-DDThh:mm:ssZ,接受任一格式。
**注意**
**預設結束時間**是從您輸入的**開始時間**起算 4 小時。若要將排程變更的**結束時間**設定為超過 4 小時,請使用 API 或 CLI 來執行變更。
+ API 或 CLI:在建立 RFC 操作中提交 `RequestedStartTime`和 `RequestedEndTime` 參數的值。傳遞已設定的 `RequestedEndTime` 不會停止已啟動的自動變更類型的執行。對於「受管自動化」變更類型,如果在 AMS Operations 研究仍在進行中時`RequestedEndTime`達到 ,而且您正在與 AMS 通訊,則可以請求 延伸,或者您可能需要重新提交 RFC。
**提示**
如需 UTC 時間讀取的範例,請參閱 Time-is 網站上的 [UTC](https://time.is/UTC)。日期/時間值為 2016-12-05 的 ISO 8601 格式範例,時間為下午 2:20:**2016-12-05T14:20:00Z **或 **20161205T142000Z**。
如果您提供...
+ 只有 `RequestedStartTime`,RFC 會被視為已排程,並使用 `RequestedEndTime` `ExecutionDurationInMinutes`值填入 。
+ 只有 `RequestedEndTime`,我們擲回 InvalidArgumentException。
+ `RequestedStartTime` 和 ,`RequestedEndTime`我們都會以`RequestedEndTime`指定的開始時間加上 `ExecutionDurationInMinutes`值來覆寫 。
+ 無論是 `RequestedStartTime`還是 `RequestedEndTime`,我們都會將這些值保留為 null,並將 RFC 視為 ASAP RFC。
**注意**
對於所有排程RFCs,未指定的結束時間會寫入為指定的時間`RequestedStartTime`加上所提交變更類型的`ExpectedExecutionDurationInMinutes`屬性。例如,如果 `ExpectedExecutionDurationInMinutes`是 "60" (分鐘),且指定的 `RequestedStartTime`是 `2016-12-05T14:20:00Z`(2016 年 12 月 5 日上午 4:20),則實際結束時間將設定為 2016 年 12 月 5 日上午 5:20。若要尋找`ExpectedExecutionDurationInMinutes`特定變更類型的 ,請執行此命令:
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
## 使用 RFC Priority 選項
在`execution mode = manual`變更類型中使用 **Priority** 選項,提醒 AMS Operations 請求的緊急程度。
中的**優先順序**選項`execution mode = manual`:
將手動 RFC 的優先順序指定為**高**、**中**或**低**。分類為**高**RFCs 會在分類為**中**RFCs之前經過審核和核准,但需受 RFC 服務水準目標 SLOs) 及其提交時間的約束。具有**低**優先順序或未指定優先順序RFCs 會依提交順序進行處理。
# 核准或拒絕 RFCs
使用核准必要 (手動) CTs RFCs 必須經過您或 AMS 的核准。會自動處理預先核准的 CTs。如需詳細資訊,請參閱[CT 核准要求](constrained-unconstrained-ctis.md)。
**注意**
使用手動 CTs時,AMS 建議您使用 ASAP **排程選項 **(在主控台中選擇 **ASAP**,在 API/CLI 中保留開始和結束時間空白),因為這些 CTs 需要 AMS 運算子來檢查 RFC,並在核准和執行之前與您通訊。如果您排程這些 RFCs,請務必至少允許 24 小時。如果未在排定的開始時間之前進行核准,RFC 會自動遭到拒絕。
如果 AMS 成功提交核准所需的 RFC,則必須獲得您的明確核准。或者,如果您提交核准所需的 RFC,則必須由 AMS 核准。如果您需要核准 AMS 提交的 RFC,則會傳送電子郵件或其他預先決定的通訊給您請求核准。通訊包含 RFC ID。傳送通訊後,請執行下列其中一項操作:
+ 主控台核准或拒絕:使用相關 RFC 的 RFC 詳細資訊頁面:
![\[RFC 詳細資訊頁面。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/AMS_Console-App-Rej.png)
+ API/CLI 核准:[ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html) 會將變更標記為已核准。如果需要兩者,擁有者和運算子都必須採取 動作。以下是 CLI 核准命令的範例。在下列範例中,將 RFC\$1ID 取代為適當的 RFC ID。
```
aws amscm approve-rfc --rfc-id RFC_ID
```
+ API/CLI 拒絕:[RejectRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_RejectRfc.html) 會將變更標記為已拒絕。以下是 CLI 拒絕命令的範例。在下列範例中,將 RFC\$1ID 取代為適當的 RFC ID。
```
aws amscm reject-rfc --rfc-id RFC_ID --reason "no longer relevant"
```
# 請求 RFC 限制執行期間
先前稱為中斷日,您可以請求限制特定時段。在此期間無法執行任何變更。
若要設定限制的執行期間,請使用 [UpdateRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRestrictedExecutionTimes.html) API 操作,並以 UTC 設定特定期間。您指定的期間會覆寫先前指定的任何期間。如果您在指定的限制執行時間提交 RFC,提交會失敗,並顯示無效的 RFC 排程錯誤。您最多可以指定 200 個限制時段。根據預設,不會設定限制期間。以下是範例 請求命令 (已設定 SAML 身分驗證):
```
aws amscm --profile saml update-restricted-execution-times --restricted-execution-times="[{\"TimeRange\":{\"StartTime\":\"2018-01-01T12:00:00Z\",\"EndTime\":\"2018-01-01T12:00:01Z\"}}]"
```
您也可以執行 RestrictedExecutionTimes API 操作來檢視目前的 RestrictedExecutionTimes 設定。 [ListRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRestrictedExecutionTimes.html) 範例:
```
aws amscm --profile saml list-restricted-execution-times
```
如果您想要在指定的限制執行時間提交 RFC,請使用 **OverrideRestrictedTimeRanges** 值新增 **RestrictedExecutionTimesOverrideId**,然後像平常一樣提交 RFC。最佳實務是僅將此方法用於關鍵或緊急 RFC。如需詳細資訊,請參閱 [SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html) 的 API 參考。
# 建立、複製、更新、尋找和取消 RFCs
下列範例會逐步解說各種 RFC 操作。
**Topics**
+ [建立 RFC](ex-rfc-create-col.md)
+ [使用 AMS 主控台複製 RFCs (重新建立)](ex-clone-rfcs.md)
+ [更新 RFCs](ex-update-rfcs.md)
+ [尋找 RFCs](ex-rfc-find-col.md)
+ [取消 RFCs](ex-cancel-rfcs.md)
# 建立 RFC
## 使用主控台建立 RFC
以下是 AMS 主控台中 RFC 建立程序的第一頁,其中開啟**快速卡**並啟用**瀏覽變更類型**:
![\[Quick create section with options for common AWS stack operations and access management.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/quickCreate1.png)
以下是 AMS 主控台中 RFC 建立程序的第一頁,並啟用**依類別選取**:
![\[Create RFC page with change type categorization options for managed services environment.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/guiRfcCreate1-2.png)
運作方式:
1. 導覽至**建立 RFC** 頁面:在 AMS 主控台的左側導覽窗格中,按一下 **RFCs**以開啟 RFCs清單頁面,然後按一下**建立 RFC**。
1. 在預設**瀏覽變更類型檢視中選擇熱門的變更類型** (CT),或在**依類別選擇**檢視中選擇 CT。
+ **依變更類型瀏覽**:您可以在**快速建立**區域中按一下熱門的 CT,以立即開啟**執行 RFC** 頁面。請注意,您無法透過快速建立選擇較舊的 CT 版本。
若要排序 CTs,請使用**卡片**或**資料表**檢視中的所有**變更類型**區域。在任一檢視中,選取 CT,然後按一下**建立 RFC** 以開啟**執行 RFC** 頁面。如果適用,**建立較舊版本**選項會顯示在**建立 RFC** 按鈕旁。
+ **依類別選擇**:選取類別、子類別、項目和操作,如果適用,CT 詳細資訊方塊會開啟,其中包含**使用較舊版本建立**的選項。按一下**建立 RFC** 以開啟**執行 RFC** 頁面。
1. 在**執行 RFC** 頁面上,開啟 CT 名稱區域以查看 CT 詳細資訊方塊。需要**主旨** (如果您在**瀏覽變更類型**檢視中選擇 CT,則會為您填入)。開啟**其他組態**區域以新增 RFC 的相關資訊。
在**執行組態**區域中,使用可用的下拉式清單或輸入必要參數的值。若要設定選用的執行參數,請開啟**其他組態**區域。
1. 完成後,請按一下**執行**。如果沒有錯誤,**RFC 成功建立**的頁面會顯示已提交的 RFC 詳細資訊,以及初始的**執行輸出**。
1. 開啟**執行參數**區域以查看您提交的組態。重新整理頁面以更新 RFC 執行狀態。或者,取消 RFC 或使用頁面頂端的選項建立 RFC 的副本。
## 使用 CLI 建立 RFC
運作方式:
1. 使用內嵌建立 (您發出包含所有 RFC 和執行參數的`create-rfc`命令) 或範本建立 (您建立兩個 JSON 檔案,一個用於 RFC 參數,另一個用於執行參數),並使用兩個檔案作為輸入發出`create-rfc`命令。此處說明這兩種方法。
1. 使用傳回的 RFC ID 提交 RFC: `aws amscm submit-rfc --rfc-id ID`命令。
監控 RFC: `aws amscm get-rfc --rfc-id ID`命令。
若要檢查變更類型版本,請使用下列命令:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**注意**
您可以將任何`CreateRfc`參數與任何 RFC 搭配使用,無論它們是否為變更類型結構描述的一部分。例如,若要在 RFC 狀態變更時取得通知,請將此行新增至請求的 `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` RFC 參數部分 (而非執行參數)。如需所有 CreateRfc 參數的清單,請參閱 [AMS 變更管理 API 參考](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)。
*內嵌建立*:
使用內嵌提供的執行參數發出建立 RFC 命令 (在內嵌提供執行參數時逸出引號),然後提交傳回的 RFC ID。例如,您可以將內容取代為如下內容:
```
aws amscm create-rfc --change-type-id "CT_ID" --change-type-version "VERSION" --title "TITLE" --execution-parameters "{\"Description\": \"example\"}"
```
*範本建立*:
**注意**
此建立 RFC 的範例使用Load Balancer (ELB) 堆疊變更類型。
1. 尋找相關的 CT。下列命令會搜尋**項目**名稱中包含「ELB」的 CT 分類摘要,並以資料表形式建立類別、項目、操作和 ChangeTypeID 的輸出 (兩者的子類別都是 `Advanced stack components`)。
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries[?contains(Item,'ELB')].[Category,Item,Operation,ChangeTypeId]" --output table
```
```
---------------------------------------------------------------------
| CtSummaries |
+-----------+---------------------------+---------------------------+
| Deployment| Load balancer (ELB) stack | Create | ct-123h45t6uz7jl |
| Management| Load balancer (ELB) stack | Update | ct-0ltm873rsebx9 |
+-----------+---------------------------+---------------------------+
```
1. 尋找最新版本的 CT:
`ChangeTypeId` 和 `ChangeTypeVersion`:此演練的變更類型 ID 為 `ct-123h45t6uz7jl`(建立 ELB),若要了解最新版本,請執行此命令:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=ct-123h45t6uz7jl
```
1. 了解選項和需求。下列命令會將結構描述輸出至名為 CreateElbParams.json.
```
aws amscm get-change-type-version --change-type-id "ct-123h45t6uz7jl" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateElbParams.json
```
1. 修改並儲存執行參數 JSON 檔案。此範例會命名檔案 CreateElbParams.json.
對於佈建 CT,StackTemplateId 包含在結構描述中,並且必須在執行參數中提交。
對於 TimeoutInMinutes,允許在 RFC 失敗之前建立堆疊的分鐘數,此設定不會延遲 RFC 執行,但您必須提供足夠的時間 (例如,不要指定 "5")。對於具有長時間執行 UserData CTs:建立 EC2 和建立 ASG,有效值為「60」到「360」。對於所有其他佈建 CTs,我們建議使用允許的上限 "60"。
提供您要建立堆疊的 VPC ID;您可以使用 CLI 命令 取得 VPC ID`aws amsskms list-vpc-summaries`。
```
{
"Description": "ELB-Create-RFC",
"VpcId": "VPC_ID",
"StackTemplateId": "stm-sdhopv00000000000",
"Name": "MyElbInstance",
"TimeoutInMinutes": 60,
"Parameters": {
"ELBSubnetIds": ["SUBNET_ID"],
"ELBHealthCheckHealthyThreshold": 4,
"ELBHealthCheckInterval": 5,
"ELBHealthCheckTarget": "HTTP:80/",
"ELBHealthCheckTimeout": 60,
"ELBHealthCheckUnhealthyThreshold": 5,
"ELBScheme": false
}
}
```
1. 將 RFC JSON 範本輸出到目前資料夾中名為 CreateElbRfc.json:
```
aws amscm create-rfc --generate-cli-skeleton > CreateElbRfc.json
```
1. 修改並儲存 CreateElbRfc.json 檔案。由於您在不同的檔案中建立執行參數,請移除該`ExecutionParameters`行。例如,您可以將內容取代為如下內容:
```
{
"ChangeTypeVersion": "2.0",
"ChangeTypeId": "ct-123h45t6uz7jl",
"Title": "Create ELB"
}
```
1. 建立 RFC。下列命令會指定執行參數檔案和 RFC 範本檔案:
```
aws amscm create-rfc --cli-input-json file://CreateElbRfc.json --execution-parameters file://CreateElbParams.json
```
您會在回應中收到新 RFC 的 ID,並使用它來提交和監控 RFC。在您提交之前,RFC 會保持在編輯狀態,不會啟動。
## 提示
**注意**
您可以使用 AMS API/CLI 來建立 RFC,而無需建立 RFC JSON 檔案或 CT 執行參數 JSON 檔案。若要這樣做,您可以使用 `create-rfc`命令,並將所需的 RFC 和執行參數新增至命令,這稱為「內嵌建立」。請注意,所有佈建 CTs`execution-parameters`區塊中包含具有資源參數的`Parameters`陣列。參數必須具有以反斜線 (\$1) 逸出的引號。
另一個建立 RFC 的記錄方法稱為「範本建立」。您可以在此處為 RFC 參數建立 JSON 檔案,並為執行參數建立另一個 JSON 檔案,並使用 `create-rfc`命令提交這兩個檔案。這些檔案可以做為範本,並再次用於未來的 RFCs。
使用 範本建立 RFCs 時,您可以使用 命令,透過發出命令來建立具有所需內容的 JSON 檔案,如下所示。這些命令會使用顯示的內容建立名為 "parameters.json" 的檔案;您也可以使用這些命令來建立 RFC JSON 檔案。
# 使用 AMS 主控台複製 RFCs (重新建立)
您可以使用 AMS 主控台來複製現有的 RFC。
若要使用 AMS 主控台複製或重新建立 RFC,請遵循下列步驟:
1. 尋找相關的 RFC。在左側導覽中,按一下 **RFCs**。
RFCs儀表板隨即開啟。
1. 捲動頁面,直到您找到要複製的 RFC。使用**篩選條件**選項縮小清單範圍。選擇您要複製的 RFC。
RFC 詳細資訊頁面隨即開啟。
1. 按一下**建立複本**。
**建立變更請求**頁面隨即開啟,並將所有選項設定為原始 RFC 中的 。
1. 進行您想要的變更。若要設定其他選項,請將**基本**選項變更為**進階**。設定所有選項之後,請選擇**提交**。
作用中 RFC 詳細資訊頁面會開啟,其中包含複製 RFC 的新 RFC ID,而複製的 RFC 會出現在 RFC 儀表板中。
# 更新 RFCs
您可以更新 RFC 然後提交或重新提交,以重新提交已被拒絕或尚未提交的 RFC。請注意,大多數 RFCs會遭到拒絕,因為在提交之前`RequestedStartTime`已通過指定的 ,或指定的 TimeoutInMinutes 不足以執行 RFC (由於 TimeoutInMinutes 不會延長成功的 RFC,我們建議針對 Amazon EC2 或具有長時間執行 UserData 的 Amazon EC2 Auto Scaling 群組,一律將此設定為至少 "60" 且最多 "360")。本節說明如何使用 `UpdateRfc`命令的 CLI 版本,使用新的 RFC 參數更新 RFC,或使用字串化 JSON 或更新的參數檔案更新新參數。
此範例說明使用 AMS UpdateRfc API 的 CLI 版本 (請參閱[更新 RFC](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/update-rfc.html))。雖然更新某些資源 (DNS 私有和公有、負載平衡器堆疊和堆疊修補組態) 有變更類型,但沒有 CT 可更新 RFC。
我們建議您一次提交一個 UpdateRfc 操作。如果您提交多個更新,例如在 DNS 堆疊上,更新可能無法同時嘗試更新 DNS。
必要資料:`RfcId`:您正在更新的 RFC。
選擇性資料:`ExecutionParameters`:除非您更新非必要欄位,例如 `Description`,否則您可以提交修改後的執行參數,以解決導致 RFC 被拒絕或取消的問題。所有提交的非空值都會覆寫原始 RFC 中的這些值。
1. 尋找相關的已拒絕或取消 RFC,您可以使用此命令 (您可以使用 取代值`Canceled`):
```
aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Rejected
```
1. 您可以修改下列任何 RFC 參數:
```
{
"Description": "string",
"ExecutionParameters": "string",
"ExpectedOutcome": "string",
"ImplementationPlan": "string",
"RequestedEndTime": "string",
"RequestedStartTime": "string",
"RfcId": "string",
"RollbackPlan": "string",
"Title": "string",
"WorstCaseScenario": "string"}
```
更新描述欄位的範例命令:
```
aws amscm update-rfc --description "AMSTestNoOpsActionRequired" --rfc-id "RFC_ID" --region us-east-1
```
更新 ExecutionParameters VpcId 欄位的範例命令:
```
aws amscm update-rfc --execution-parameters "{\"VpcId\":\"VPC_ID\"}" --rfc-id "RFC_ID" --region us-east-1
```
使用包含更新的執行參數檔案更新 RFC 的範例命令;請參閱 [EC2 堆疊 \$1 建立](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ec2-stack-create.html)之步驟 2 中的範例執行參數檔案:
```
aws amscm update-rfc --execution-parameters file://CreateEc2ParamsUpdate.json --rfc-id "RFC_ID" --region us-east-1
```
1. 使用 `submit-rfc`和您在第一次建立 RFC 時擁有的相同 RFC ID 重新提交 RFC:
```
aws amscm submit-rfc --rfc-id RFC_ID
```
如果 RFC 成功,您在命令列不會收到確認或錯誤訊息。
1. 若要監控請求的狀態和檢視執行輸出,請執行下列命令。
```
aws amscm get-rfc --rfc-id RFC_ID
```
# 尋找 RFCs
## 使用主控台尋找變更請求 (RFC)
若要使用 AMS 主控台尋找 RFC,請遵循下列步驟。
**注意**
此程序僅適用於排程RFCs,也就是未使用 **ASAP** 選項的 RFCs。
1. 在左側導覽中,按一下 **RFCs**。
RFCs儀表板隨即開啟。
1. 捲動清單或使用**篩選**選項來精簡清單。
RFC 清單會依篩選條件而變更。
1. 選擇您想要的 RFC 主旨連結。
RFC 詳細資訊頁面會開啟該 RFC,其中包含 RFC ID 等資訊。
1. 如果儀表板中有許多 RFCs,您可以使用**篩選條件**選項依 RFC 搜尋:
+ **主旨**:建立 RFC 時提供給 RFC 的主旨行或標題 (在 API/CLI 中)。
+ **RFC ID**:RFC 的識別符。
+ **活動狀態**:如果您知道 RFC 狀態,您可以在 **AwsOperatorAssigned** 之間進行選擇,表示運算子目前正在查看 RFC,**AwsActionPending** 表示 AMS 運算子必須執行某些動作,然後 RFC 執行才能繼續,或者 **CustomerActionPending** 表示您需要採取一些動作,才能繼續執行 RFC。
+ **狀態**:如果您知道 RFC 狀態,您可以選擇:
+ **已排程**:已排程RFCs。
+ **已取消**:已取消RFCs。
+ **進行中**:RFCs進行中。
+ **成功**:成功執行RFCs。
+ **已拒絕**:已拒絕RFCs。
+ **編輯**:正在編輯RFCs。
+ **失敗**:失敗RFCs。
+ **待核准**:在 AMS 或您核准之前無法繼續進行RFCs。一般而言,這表示您需要核准 RFC。您會在服務請求清單中收到此服務通知。
+ **變更類型**:挑選**類別**、**子類別**、**項目**和**操作**,然後為您擷取變更類型 ID。
+ **請求的開始時間**或**請求的結束時間**:此篩選條件選項可讓您選擇**之前**或之後****,然後輸入**日期**和選擇性**的時間** (hh:mm 和時區)。此篩選條件只會在排程 RFCs (非 ASAP RFCs上成功運作。
+ **狀態**:**已排程**、**已取消**、**進行中**、**成功**、**已拒絕**、**編輯**或**失敗**。
+ **主旨**:您提供 RFC 的主旨 (或標題,如果使用 API/CLI 建立 RFC)。
+ **變更類型 ID**:使用與 RFC 一起提交的變更類型識別符。
搜尋可讓您新增篩選條件,如下列螢幕擷取畫面所示。
![\[Search or filter options including Subject, RFC ID, Activity state, and various time-related fields.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/filterRfcAllOptions3.png)
1. 按一下您想要的 RFC 主旨連結。
RFC 詳細資訊頁面會開啟該 RFC,其中包含 RFC ID 等資訊。
## 使用 CLI 尋找變更請求 (RFC)
您可以使用多個篩選條件來尋找 RFC。
若要檢查變更類型版本,請使用下列命令:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**注意**
您可以將任何`CreateRfc`參數與任何 RFC 搭配使用,無論它們是否為變更類型結構描述的一部分。例如,若要在 RFC 狀態變更時取得通知,請將此行新增至請求的 `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` RFC 參數部分 (而非執行參數)。如需所有 CreateRfc 參數的清單,請參閱 [AMS 變更管理 API 參考](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)。
如果您不記下 RFC ID,且稍後需要找到它,您可以使用 AMS 變更管理 (CM) 系統來搜尋它,並使用篩選條件或查詢縮小結果範圍。
1. CM API [ListRfcSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRfcSummaries.html) 操作具有篩選條件。您可以根據邏輯 AND 操作中的 `Attribute`和 `Value`組合,或根據 `Condition`、 `Attribute`和 來[篩選](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_Filter.html)結果`Values`。
**RFC 篩選**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/ex-rfc-find-col.html)
範例:
若要尋找與 SQS 相關的所有 RFCs IDs (其中 SQS 包含在 CT 的項目部分),您可以使用此命令:
```
list-rfc-summaries --query 'RfcSummaries[?contains(Item.Name,`SQS`)].[Category.Id,Subcategory.Id,Type.Id,Item.Id,RfcId]' --output table
```
傳回如下內容:
```
----------------------------------------------------------------------------
| ListRfcSummaries |
+----------+--------------------------------+-------+-------+----------------+
|Deployment| Advanced Stack Components |SQS |Create |ct-123h45t6uz7jl|
|Management| Monitoring & Notification |SQS |Update |ct-123h45t6uz7jl|
+----------+--------------------------------+-------+-------+----------------+
```
另一個適用於 的篩選條件`list-rfc-summaries`是 `AutomationStatusId`,用於尋找自動化或手動RFCs:
```
aws amscm list-rfc-summaries --filter Attribute=AutomationStatusId,Value=Automated
```
另一個適用於 的篩選條件`list-rfc-summaries`是 `Title`(主控台中的**主旨**):
```
Attribute=Title,Value=RFC-TITLE
```
JSON 中傳回 RFCs的新請求結構範例,其中:
+ (標題包含「Windows 2012」或「Amazon Linux」) 和
+ (RfcStatusId EQUALS "Success" 或 "InProgress") 和
+ (20170101T000000Z <= RequestedStartTime <= 20170103T000000Z) AND (ActualEndTime <= 20170103T000000Z)
```
{
"Filters": [
{
"Attribute": "Title",
"Values": ["Windows 2012", "Amazon Linux"],
"Condition": "Contains"
},
{
"Attribute": "RfcStatusId",
"Values": ["Success", "InProgress"],
"Condition": "Equals"
},
{
"Attribute": "RequestedStartTime",
"Values": ["20170101T000000Z", "20170103T000000Z"],
"Condition": "Between"
},
{
"Attribute": "ActualEndTime",
"Values": ["20170103T000000Z"],
"Condition": "Before"
}
]
}
```
**注意**
使用更進階的 `Filters`,AMS 打算在即將發行的版本中棄用下列欄位:
值:值欄位是篩選條件欄位的一部分。使用支援更進階功能的值欄位。
RequestedEndTimeRange:在支援更進階功能的篩選條件欄位中使用 RequestedEndTime
RequestedStartTimeRange:在支援更進階功能的篩選條件欄位中使用 RequestedStartTime。
如需使用 CLI 查詢的相關資訊,請參閱[如何使用 --query Option 篩選輸出](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter),以及查詢語言參考 [JMESPath Specification](http://jmespath.org/specification.html)。
1. 如果您使用的是 AMS 主控台:
前往 **RFCs**清單頁面。如有需要,您可以篩選 RFC **主體**,這是您在建立 RFC `Title`時輸入的內容。
## 提示
**注意**
此程序僅適用於排程RFCs,也就是未使用 **ASAP** 選項的 RFCs。
# 取消 RFCs
您可以使用 主控台或 AMS API/CLI 來取消 RFC。
若要使用主控台取消 RFC,請在 RFC 清單中尋找 RFC,開啟它,然後按一下**取消**。
必要資料:
+ `Reason`:取消 RFC 的原因。
+ `RfcId`:您要取消的 RFC。
1. 一般而言,您會在提交 RFC 後立即取消 RFC (因此 RFC ID 應該很方便);否則,除非您已排定,且早於指定的開始時間,否則您將無法取消 RFC。如果您需要尋找 RFC ID,您可以使用此命令 (您可以將 `Value` 取代`PendingApproval`為手動核准的 RFC):
```
aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Scheduled
```
1. 取消 RFC 的範例命令:
```
aws amscm cancel-rfc --reason "Bad Stack ID" --rfc-id "RFC_ID" --profile saml --region us-east-1
```
# 搭配 RFCs 使用 AMS 主控台
AMS 主控台提供的功能可協助您成功建立和提交 RFCs。
## 使用 RFC 清單頁面 (主控台)
AMS 主控台 **RFCs**清單頁面為您提供下列選項:
+ 透過**篩選條件**進行進階 RFC 搜尋。如需相關資訊,請參閱[尋找 RFCs](ex-rfc-find-col.md)。
+ 尋找上次**修改** RFC 的時間。此值代表上次變更 RFC 狀態的時間。
+ 使用 RFC **主體**檢視 RFC 詳細資訊。選擇此連結會開啟該 RFC 的詳細資訊頁面。
+ 檢視 RFC 狀態。如需相關資訊,請參閱[了解 RFC 狀態碼](ex-rfc-status-codes.md)。
![\[RFC 清單頁面。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/guiRfcListTable.png)
## 使用 RFC 快速建立 (主控台)
使用 RFC 快速建立卡或清單資料表,或依分類選擇 RFCs的變更類型。
如需詳細資訊,請參閱 [建立 RFC](ex-rfc-create-col.md)。
## 新增 RFC 通訊和附件 (主控台)
您可以在 RFC 提交之後並在核准之前新增通訊;例如,當 RFC 處於「PendingApproval」狀態時。核准 RFC 之後 (處於「排程」或「InProgress」的狀態),便無法新增通訊,因為它可以解釋為請求的變更。RFC 完成後 (狀態為「已取消」、「已拒絕」、「成功」或「失敗」),雖然 RFC 關閉超過 30 天後,會再次啟用通訊。
**注意**
每個通訊限制為 5,000 個字元。
**附件的限制:**
+ 每個通訊僅三個附件。
+ 每個 RFC 限制 50 個附件。
+ 每個附件的大小必須小於 5 MB。
+ 只接受文字檔案,例如純文字 (`.txt`)、逗號分隔值 (`.csv`)、JSON (`.json`) 或 YAML ()`.yaml`。如果是 YAML 格式,則必須使用副檔名 連接檔案`.yaml`。
**注意**
禁止包含 XML 內容的文字檔案。如果您有要與 AMS 共用的 XML 內容,請使用服務請求。
+ 檔案名稱限制為 255 個字元,只有數字、字母、空格、破折號 (-)、底線 (\$1) 和點 (.)。
+ 目前不支援更新和刪除 RFC 上的附件。
若要將通訊和附件新增至 RFC,請遵循下列步驟:
1. 在 AMS 主控台的 RFC 詳細資訊頁面上,找到頁面底部的**對應**區段。
在任何通訊之前:
![\[空白通訊區段。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/correspondence-rfc-detail-new.png)
在一些通訊之後:
![\[通訊區段顯示回覆表單和收到的通訊。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/correspondence-reply-form2.png)
1. 若要新增通訊,請在**回覆**文字方塊中輸入訊息。若要連接與通訊相關的檔案,請選擇**新增附件**,然後選擇您想要的檔案。
![\[顯示註解方塊和附件的通訊區段。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/correspondence-add-attachments.png)
1. 完成後,請選擇**提交**。
新的通訊以及附加檔案的連結會出現在 RFC 詳細資訊頁面上的通訊清單中。
![\[收到的通訊清單。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/correspondence-list2.png)
# 設定 RFC 電子郵件通知 (主控台)
AMS 主控台**變更請求**建立頁面可讓您選擇新增電子郵件地址,以接收 RFC 狀態變更的通知:
![\[新增電子郵件地址以接收 RFC 狀態變更的通知。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/emailNoticeOption2.png)
此外,您可以將通知的電子郵件地址新增至任何變更類型,例如:
```
aws amscm create-rfc --change-type-id
--change-type-version 1.0 --title "TITLE"
--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"
```
在請求的 RFC 參數部分中,將類似的行 (`--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`) 新增至任何變更類型內嵌或範本請求,而非參數部分。
# 了解常見的 RFC 參數
以下是您必須提交的 RFC 參數,以及 RFCs 中常用的參數:
+ 變更類型資訊:ChangeTypeId 和 ChangeTypeVersion。Ror 變更類型 IDs和版本編號的清單,請參閱[變更類型參考](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)。
使用 `query`引數在 CLI `list-change-type-classification-summaries`中執行 ,以縮小結果範圍。例如,縮小結果以變更`Item`名稱中包含「存取」的類型。
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains (Item, 'access')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
```
執行 `get-change-type-version` 並指定變更類型 ID。下列命令會取得 ct-2tylseo8rxfsc 的 CT 版本。
```
aws amscm get-change-type-version --change-type-id ct-2tylseo8rxfsc
```
+ 標題:RFC 的名稱;這會成為 AMS 主控台 RFC 清單中 RFC 的**主體**,您可以使用 `GetRfc`命令和 上的篩選條件進行搜尋 `Title`
+ 排程:如果您想要排程 RFC,則必須包含 `RequestedStartTime`和 `RequestedEndTime` 參數,或使用**排程此變更**主控台選項。對於 **ASAP** RFC (在核准後立即執行),在使用 CLI 時,請保留 `RequestedStartTime`和 `RequestedEndTime` null。使用主控台時,請接受 **ASAP** 選項。
如果遺漏 `RequestedStartTime` ,RFC 會遭到拒絕。
+ 佈建 CTs:執行參數或 `Parameters`是佈建資源所需的特定設定。它們因 CT 而異。
+ 非佈建 CTs:未佈建資源的 CTs,例如存取 CTs 或其他 \$1 其他,或刪除堆疊,具有最少的執行參數且沒有`Parameters`區塊。
+ 有些 RFCs還需要您指定 `TimeoutInMinutes`,或在 RFC 失敗之前,允許多少分鐘建立堆疊。對於長時間執行的 UserData,有效值為 60 (分鐘) 到 360。如果無法在超過 `TimeoutInMinutes` 之前完成執行,RFC 會失敗。不過,此設定不會延遲 RFC 的執行。
+ 建立執行個體的 RFCs,例如 S3 儲存貯體或 ELB,通常提供結構描述,可讓您新增最多七個標籤 (索引鍵/值對)。您可以使用部署 \$1 進階堆疊元件 \$1 標籤 \$1 建立變更類型 (ct-3cx7we852p3af) 提交 RFC,將更多標籤新增至 S3 儲存貯體。EC2、EFS、RDS 和多層 (HA 雙層和 HA 單層) 結構描述最多允許 50 個標籤。標籤是在結構描述`ExecutionParameters`的一部分中指定。提供標籤可能很有價值。如需詳細資訊,請參閱[標記您的 Amazon EC2 資源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。
使用 AMS 主控台時,您必須開啟**其他組態**區域,才能新增標籤。
**提示**
許多 CT 結構描述都有靠近結構描述頂端的 `Description`和 `Name` 欄位。這些欄位用於命名堆疊或堆疊元件,而不會命名您正在建立的資源。有些結構描述提供參數來命名您正在建立的資源,有些則不會。例如,建立 EC2 堆疊的 CT 結構描述不提供參數來命名 EC2 執行個體。若要這樣做,您必須建立索引鍵為 "Name" 的標籤,以及您想要名稱的值。如果您未建立此類標籤,EC2 執行個體會顯示在 EC2 主控台中,但沒有名稱屬性。
## 使用 RFC AWS 區域選項
AMS API 和 CLI (`amscm` 和 `amsskms`) 端點位於 中`us-east-1`。如果您與安全性聲明標記語言 (SAML) 聯合,則在加入時會為您提供指令碼,將您的 AWS 區域設定為 us-east-1。如果您使用 SAML,則不需要在發出命令時指定 `--region`選項。如果您的 SAML 設定為使用 us-east-1,但您的帳戶不在該 AWS 區域中,則您必須在發出其他 AWS 命令時指定帳戶加入區域 (例如 `aws s3`)。
**注意**
本指南中提供的大多數命令範例不包含 `--region`選項。
# 註冊 RFC 每日電子郵件
您可以使用 RFC 摘要功能,註冊每日電子郵件,總結您帳戶在過去 24 小時內的 RFC 活動。RFC 摘要功能是一個簡化的程序,可減少您收到有關帳戶 RFCs 的電子郵件通知數量。RFC 摘要可能會降低您錯過待回應動作的可能性。
若要開啟 RFC 摘要功能,請聯絡您的 AMS Cloud Service Delivery Manager (CSDM)。CSDM 會訂閱您。您最多可以請求將 20 個電子郵件地址 (或別名) 包含在 RFC 摘要電子郵件清單中。目前的電子郵件排程固定為 09:00 UTC-8。
若要關閉 RFC 摘要功能,請聯絡您的 CSDM 並提出您的請求。
如果您未設定 RFC 摘要並希望收到有關 RFCs通知,或者如果您想要 RFCs 摘要提供比 RFC 摘要更詳細的資訊,請使用變更管理系統來設定 CloudWatch Events 通知或每個個別 RFC 的電子郵件通知。如需設定 RFC 通知的資訊,請參閱 [RFC 狀態變更通知](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html)。
RFC 摘要中包含的主題包括下列項目:
+ 待客戶核准:列出處於**PendingApproval**狀態的 RFCs,等待您的核准
+ 待客戶回覆:列出正在等待 RFCs 通訊回覆的 RFC
+ 等待 AWS 核准或回覆:列出等待 AMS 回覆或核准的 RFCs
+ 已完成:列出**成功**、**失敗**、**已取消**和**已拒絕**狀態RFCs
以下是 RFC 摘要範例:
![\[RFC 摘要範例\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/RFCDigestExample.png)
# 什麼是變更類型?
變更類型是指 AWS Managed Services (AMS) 變更請求 (RFC) 執行並包含變更動作本身的動作,以及變更類型 – 手動與自動。AMS 有大量變更類型,其他 Amazon Web 服務不會使用。您可以在提交變更請求 (RFC) 以部署、管理或存取 資源時使用這些變更類型。
**Topics**
+ [自動化和手動 CTs](ug-automated-or-manual.md)
+ [CT 核准要求](constrained-unconstrained-ctis.md)
+ [變更類型版本](ct-versions.md)
+ [建立變更類型](ct-creates.md)
+ [更新變更類型](ct-updates.md)
+ [僅限內部的變更類型](ct-internals.md)
+ [變更類型結構描述](ct-schemas.md)
+ [管理變更類型的許可](ct-permissions.md)
+ [從變更類型編輯敏感資訊](ct-redaction.md)
+ [使用查詢選項尋找變更類型](ug-find-ct-ex-section.md)
# 自動化和手動 CTs
變更類型的限制條件是它們是自動還是手動,這是變更類型`AutomationStatusId`屬性,在 AMS 主控台中稱為**執行模式**。
自動化變更類型具有預期的結果和執行時間,並且通常在一小時內透過 AMS 自動化系統執行 (這主要取決於 CT 正在佈建的資源)。手動變更類型並不常見,但會受到不同的處理,因為它們需要 AMS 運算子先對 RFC 採取行動,才能執行。有時這表示與 RFC 提交者通訊,因此手動變更類型需要不同的時間長度才能完成。
對於所有排程RFCs,未指定的結束時間會寫入為指定的時間`RequestedStartTime`加上所提交變更類型的`ExpectedExecutionDurationInMinutes`屬性。例如,如果 `ExpectedExecutionDurationInMinutes`是 "60" (分鐘),且指定的 `RequestedStartTime`是 `2016-12-05T14:20:00Z`(2016 年 12 月 5 日上午 4:20),則實際結束時間將設定為 2016 年 12 月 5 日上午 5:20。若要尋找`ExpectedExecutionDurationInMinutes`特定變更類型的 ,請執行此命令:
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
**注意**
**執行模式** = 手動RFCs 必須在主控台中設定為在未來至少 24 小時執行。
**注意**
使用手動 CTs時,AMS 建議您使用 ASAP **排程選項 **(在主控台中選擇 **ASAP**,在 API/CLI 中保留開始和結束時間空白),因為這些 CTs 需要 AMS 運算子來檢查 RFC,並在核准和執行之前與您通訊。如果您排程這些 RFCs,請務必允許至少 24 小時。如果未在排定的開始時間之前進行核准,RFC 會自動遭到拒絕。
AMS 旨在四小時內回應手動 CT,並會盡快對應,但實際執行 RFC 可能需要更長的時間。
如需手動且需要 AMS 檢閱CTs 清單,請參閱 主控台**開發人員資源**頁面上的變更類型 CSV 檔案。
**YouTube 影片**:[如何尋找 AMS RFCs的自動變更類型?](https://www.youtube.com/watch?v=sOzDuCCOduI&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=2&t=1s)
若要在 AMS 主控台中尋找 CT 的**執行模式**,您必須使用**瀏覽變更類型**搜尋選項。結果會顯示相符變更類型或變更類型的執行模式。
若要使用 AMS CLI 尋找`AutomationStatus`特定變更類型的 ,請執行此命令:
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
```
您也可以在 [AMS 變更類型參考中查詢變更類型,該參考](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)提供有關所有 AMS 變更類型的資訊。
**注意**
AMS API/CLI 目前不是 AWS API/CLI 的一部分。若要存取 AMS API/CLI,您可以透過 AMS 主控台下載 AMS 開發套件。
# CT 核准要求
AMS CTs一律有兩個核准條件:**AwsApprovalId** 和 **CustomerApprovalId**,指出 RFC 是否需要 AMS 或您或任何人核准執行。
核准條件與執行模式有些相關;如需詳細資訊,請參閱 [自動化和手動 CTs](ug-automated-or-manual.md)。
若要了解 CT 的核准條件,您可以查看 [AMS 變更類型參考](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html),或執行 [GetChangeTypeVersion](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_GetChangeTypeVersion.html)。兩者也會為您提供 CT `AutomationStatusId`或**執行模式**。
您可以使用 AMS 主控台或下列命令來核准 RFCs:
```
aws amscm approve-rfc --rfc-id RFC_ID
```
**CT 核准條件**
| 如果 CT 核准條件為 | 它需要來自 的核准 | 及 |
| --- | --- | --- |
| `AwsApprovalId: Required` | AMS 變更類型系統、 | 無需採取任何動作。此條件是自動化 CTs的典型條件。 |
| `AwsApprovalId: NotRequiredIfSubmitter` | 如果提交的 RFC 是針對其所提交的帳戶,則 AMS 變更類型系統不會有其他人, | 無需採取任何動作。此條件適用於手動 CTs因為 AMS 運算子一律會檢閱它們。 |
| `CustomerApprovalId: NotRequired` | AMS 變更類型系統、 | 如果 RFC 通過語法和參數檢查,則會自動核准。 |
| `CustomerApprovalId: Required` | AMS 變更類型系統與您, | 系統會傳送通知給您,您必須透過回應通知或執行 [ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html) 操作來明確核准 RFC。 |
| `CustomerApprovalId: NotRequiredIfSubmitter` | 如果您提交 RFC,則 AMS 變更類型系統不會有其他人。 | 如果 RFC 通過語法和參數檢查,則會自動核准。 |
| 緊急安全事件或修補程式 | AMS | 已自動核准並實作。 |
# 變更類型版本
變更類型會進行版本控制,並在對變更類型進行主要更新時變更版本。
使用 AMS 主控台選取變更類型之後,您可以選擇開啟**其他組態**區域並選取變更類型版本。您也可以在 API/CLI 命令列指定變更類型版本。您可能會因為各種原因而想要這樣做,包括:
+ 您知道您想要的**更新**變更類型版本必須符合您用來建立現在要更新之資源的**建立**變更類型版本。例如,您可能有一個使用 ELB 建立變更類型版本 1 建立的 Elastic Load Balancer (ELB) 執行個體。若要更新它,請選擇 ELB 更新第 1 版。
+ 您想要使用的變更類型版本,其中包含與最新變更類型不同的選項。我們不建議這麼做,因為 AMS 更新變更類型主要基於安全考量,建議您一律選擇最新版本。
# 建立變更類型
建立變更類型會比對version-to-version與更新變更類型。也就是說,您用來佈建資源的變更類型版本必須符合稍後用來修改該資源的更新變更類型版本。例如,如果您使用建立 S3 儲存貯體變更類型 2.0 版建立 S3 儲存貯體,且稍後想要提交 RFC 來修改該 S3 儲存貯體,則您也必須使用更新 S3 儲存貯體變更類型 2.0 版,即使更新 S3 儲存貯體變更類型具有 3.0 版。
我們建議您保留在佈建具有建立變更類型的資源時所使用的變更類型 ID 和版本記錄,以防您稍後想要使用更新變更類型進行修改。
# 更新變更類型
AMS 提供更新變更類型,以更新使用建立變更類型建立的資源。更新變更類型必須與最初用於佈建資源version-to-version的建立變更類型相符。
建議您保留您在佈建資源時所使用的變更類型 ID 和版本記錄,以便輕鬆更新。
**YouTube 影片**:[如何使用更新 CTs來變更 AWS Managed Services (AMS) 帳戶中的資源?](https://www.youtube.com/watch?v=dqb31yaAXhc&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=8&t=30s)
# 僅限內部的變更類型
您可以查看僅供內部使用的變更類型。這是為了讓您知道 AMS 可以或會採取哪些動作。如果您想要有僅供內部使用的變更類型,請提交服務請求。
例如,有一個管理 \$1 監控和通知 \$1 CloudWatch 警示抑制 \$1 更新僅限內部的 CT。AMS 會使用它來部署基礎設施更新 (例如修補),以關閉更新可能錯誤觸發的警示通知。提交此 CT 時,您會在 RFC 清單中注意到 CT 的 RFC。在 RFC 中部署的任何僅限內部 CT 都會顯示在 RFC 清單中。
# 變更類型結構描述
所有變更類型都會為資源的建立、修改或存取中的輸入提供 JSON 結構描述。結構描述提供參數及其描述,供您建立變更請求 (RFC)。
成功執行 RFC 會產生執行輸出。對於佈建 RFCs,執行輸出包含代表 CloudFormation 中堆疊的 "stack\$1id",並且可以在 CloudFormation 主控台中搜尋。執行輸出有時包含所建立執行個體 ID 的輸出,該 ID 可用於在對應的 AWS 主控台中搜尋執行個體。例如,建立 ELB CT 執行輸出包含可在 CloudFormation 中搜尋的 "stack\$1id",並輸出可在 Elastic Load Balancing 的 Amazon EC2 主控台中搜尋的 key=ELB value=。
讓我們檢查 CT 結構描述。這是 CodeDeploy Application Create 的結構描述,這是一個相當小的結構描述。有些結構描述的區域非常大`Parameter`。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/ct-schemas.html)
**注意**
此結構描述最多允許七個標籤;不過,EC2、EFS、RDS 和多層建立結構描述最多允許 50 個標籤。
# 管理變更類型的許可
您可以使用自訂政策來限制哪些變更類型 CTs) 可供不同的群組或使用者使用。
若要進一步了解如何執行此作業,請參閱 AMS 使用者指南一節[設定許可](https://docs.aws.amazon.com/managedservices/latest/userguide/setting-permissions.html)。
# 從變更類型編輯敏感資訊
AMS 變更類型結構描述提供參數屬性,`"metadata":"ams:sensitive":"true"`用於包含敏感資訊的參數,例如密碼。設定此屬性時,提供的輸入會隱藏。請注意,您無法設定此參數屬性;不過,如果您使用 AMS 來建立變更類型,並具有您想要在輸入時隱藏的參數,您可以請求此參數。
# 使用查詢選項尋找變更類型
此範例示範如何使用 AMS 主控台來尋找您要提交之 RFC 的適當變更類型。
您可以使用 主控台或 API/CLI 來尋找變更類型 ID (CT) 或版本。有兩種方法:搜尋或選擇分類。對於這兩種選擇類型,您可以選擇**最常使用**、**最近使用**或**按字母順序**排序搜尋。
**YouTube 影片**:[如何使用 AWS Managed Services CLI 建立 RFC,以及在哪裡可以找到 CT 結構描述?](https://www.youtube.com/watch?v=IluDFwnJJFU&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=3&t=150s)
在 AMS 主控台的 **RFCs** -> **建立 RFC** 頁面上:
+ 選取**依變更類型瀏覽** (預設) 時:
+ 使用**快速建立**區域從 AMS 最熱門CTs 中選取。按一下標籤,隨即開啟**執行 RFC** 頁面,並自動為您填入**主旨**選項。視需要完成其餘選項,然後按一下**執行**以提交 RFC。
+ 或者,向下捲動至**所有變更類型**區域,並開始在選項方塊中輸入 CT 名稱,您不需要具有確切或完整的變更類型名稱。您也可以輸入相關字詞,依變更類型 ID、分類或執行模式 (自動或手動) 搜尋 CT。
選取預設**卡**檢視後,相符的 CT 卡會在您輸入時顯示,選取卡片並按一下**建立 RFC**。選取**資料表**檢視後,選擇相關的 CT,然後按一下**建立 RFC**。這兩種方法都會開啟**執行 RFC** 頁面。
+ 或者,若要探索變更類型選擇,請按一下頁面頂端的**依類別選擇**,以開啟一系列的下拉式清單選項方塊。
+ 選擇**類別**、**子類別**、**項目**和**操作**。該變更類型的資訊方塊會顯示頁面底部的面板。
+ 當您準備好時,請按 **Enter**,並顯示相符的變更類型清單。
+ 從清單中選擇變更類型。該變更類型的資訊方塊會出現在頁面底部。
+ 在您擁有正確的變更類型之後,請選擇**建立 RFC**。
**注意**
必須安裝 AMS CLI,這些命令才能運作。若要安裝 AMS API 或 CLI,請前往 AMS 主控台**開發人員資源**頁面。如需 AMS CM API 或 AMS SKMS API 的參考資料,請參閱《 使用者指南》中的 AMS 資訊資源一節。您可能需要新增身分驗證`--profile`選項,例如 `aws amsskms ams-cli-command --profile SAML`。您可能還需要新增 `--region`選項,因為所有 AMS 命令都用盡 us-east-1;例如 `aws amscm ams-cli-command --region=us-east-1`。
**注意**
AMS API/CLI (amscm 和 amsskms) 端點位於 AWS N. Virginia 區域 `us-east-1`。根據身分驗證的設定方式,以及您的帳戶和資源所在的 AWS 區域,您可能需要在發出命令`--region us-east-1`時新增 。如果這是您的身分驗證方法`--profile saml`,您可能還需要新增 。
若要使用 AMS CM API (請參閱 [ListChangeTypeClassificationSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html)) 或 CLI 搜尋變更類型:
您可以使用篩選條件或查詢來搜尋。ListChangeTypeClassificationSummaries 操作具有 `Category`、`Item`、 `Subcategory`和 的[篩選條件](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html#amscm-ListChangeTypeClassificationSummaries-request-Filters)選項`Operation`,但值必須完全符合現有的值。若要在使用 CLI 時獲得更靈活的結果,您可以使用 `--query`選項。
**使用 AMS CM API/CLI 變更類型篩選**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/ug-find-ct-ex-section.html)
1. 以下是列出變更類型分類的一些範例:
下列命令會列出所有變更類型類別。
```
aws amscm list-change-type-categories
```
下列命令會列出屬於指定類別的子類別。
```
aws amscm list-change-type-subcategories --category CATEGORY
```
下列命令會列出屬於指定類別和子類別的項目。
```
aws amscm list-change-type-items --category CATEGORY --subcategory SUBCATEGORY
```
1. 以下是使用 CLI 查詢搜尋變更類型的一些範例:
下列命令會搜尋項目名稱中包含 "S3" 的 CT 分類摘要,並以資料表形式建立類別、子類別、項目、操作和變更類型 ID 的輸出。
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains(Item, 'S3')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
```
```
+---------------------------------------------------------------+
| ListChangeTypeClassificationSummaries |
+----------+-------------------------+--+------+----------------+
|Deployment|Advanced Stack Components|S3|Create|ct-1a68ck03fn98r|
+----------+-------------------------+--+------+----------------+
```
1. 然後,您可以使用變更類型 ID 來取得 CT 結構描述並檢查參數。下列命令會將結構描述輸出至名為 CreateS3Params.schema.json.
```
aws amscm get-change-type-version --change-type-id "ct-1a68ck03fn98r" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateS3Params.schema.json
```
如需有關使用 CLI 查詢的資訊,請參閱[如何使用 --query Option 篩選輸出](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter)和查詢語言參考 [JMESPath Specification](http://jmespath.org/specification.html)。
1. 在您擁有變更類型 ID 之後,建議您驗證變更類型的版本,以確保它是最新版本。使用此命令來尋找指定變更類型的版本:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CHANGE_TYPE_ID
```
若要尋找`AutomationStatus`特定變更類型的 ,請執行此命令:
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
```
若要尋找`ExpectedExecutionDurationInMinutes`特定變更類型的 ,請執行此命令:
```
aws amscm --profile saml get-change-type-version --change-type-id ct-14027q0sjyt1h --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
# 針對 AMS 中的 RFC 錯誤進行故障診斷
許多 AMS 佈建 RFC 失敗可以透過 CloudFormation 文件進行調查。請參閱[對 AWS CloudFormation 進行故障診斷:對錯誤進行故障診斷](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors)
以下各節提供其他疑難排解建議。
## AMS 中的「管理」RFC 錯誤
AMS「管理」類別變更類型 CTs) 可讓您請求存取資源,以及管理現有的資源。本節說明一些常見問題。
### RFC 存取錯誤
+ 請確定您在 RFC 中指定的使用者名稱和 FQDN 正確且存在於網域中。如需尋找 FQDN 的說明,請參閱[尋找 FQDN](https://docs.aws.amazon.com/managedservices/latest/userguide/find-FQDN.html)。
+ 請確定您為存取指定的堆疊 ID 是 EC2-related堆疊。ELB 和 Amazon Simple Storage Service (S3) 等堆疊不是存取 RFCs的候選項目,而是使用您的唯讀存取角色來存取這些堆疊資源。如需尋找堆疊 ID 的說明,請參閱[尋找堆疊 IDs](https://docs.aws.amazon.com/managedservices/latest/userguide/find-stack.html)
+ 請確定您提供的堆疊 ID 正確,且屬於相關帳戶。
如需其他存取 RFC 失敗的說明,請參閱[存取管理](https://docs.aws.amazon.com/managedservices/latest/userguide/access-mgmt.html)。
**YouTube 影片**:[如何正確提出變更請求 (RFC),以避免拒絕和失敗?](https://www.youtube.com/watch?v=IFOn4Q-5Cas&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=5&t=242s)
### RFC (手動) CT 排程錯誤
大多數變更類型是 ExecutionMode=Automated,但有些是 ExecutionMode=Manual,這會影響您應該如何排程它們以避免 RFC 失敗。
如果您使用 AMS 主控台建立 RFCs則使用 ExecutionMode=Manual 的排程 RFC 必須設定為未來至少 24 小時執行。
AMS 旨在八小時內回應手動 CT,並會盡快對應,但實際執行 RFC 可能需要更長的時間。
### 搭配手動更新 CTs使用 RFCs
當您要更新的堆疊類型有更新變更類型時,AMS Operations 會拒絕管理 \$1 其他 \$1 其他 RFCs 更新堆疊。
### RFC 刪除堆疊錯誤
RFC 刪除堆疊失敗:如果您使用管理 \$1 標準堆疊 \$1 堆疊 \$1 刪除 CT,您會在 CloudFormation 主控台中看到具有 AMS 堆疊名稱之堆疊的詳細事件。您可以對照 AMS 主控台中的堆疊名稱來檢查堆疊。 CloudFormation 主控台提供有關失敗原因的更多詳細資訊。
在刪除堆疊之前,您應該考慮堆疊的建立方式。如果您使用 AMS CT 建立堆疊,但未新增或編輯堆疊資源,則可以預期刪除堆疊,而不會發生問題。不過,建議您先從堆疊移除任何手動新增的資源,再提交刪除堆疊 RFC。例如,如果您使用完整堆疊 CT (HA Two Tier) 建立堆疊,它會包含安全群組 - SG1。如果您接著使用 AMS 建立另一個安全群組 - SG22,並在建立為完整堆疊一部分的 SG1 中參考新的 SG2,然後使用刪除堆疊 CT 刪除堆疊,SG1 將不會刪除,因為 SG2 會參考它。
**重要**
刪除堆疊可能會產生不想要和非預期的後果。基於此原因,AMS 偏好 \$1not\$1 代表客戶刪除堆疊或堆疊資源。請注意,AMS 只會代表您刪除無法使用適當的自動變更類型刪除的資源 (透過提交的管理 \$1 其他 \$1 其他 \$1 更新變更類型)。其他考量:
如果資源已啟用「刪除保護」,則如果您提交管理 \$1 其他 \$1 其他 \$1 更新變更類型,則 AMS 可協助解除封鎖,並且在刪除保護移除後,您可以使用自動 CT 刪除該資源。
如果堆疊中有多個資源,而且您只要刪除一部分的堆疊資源,請使用 CloudFormation Update 變更類型 (請參閱 [CloudFormation Ingest Stack:Update](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-cfn-ingest-update-col.html))。您也可以提交管理 \$1 其他 \$1 其他 \$1 更新變更類型,如有需要,AMS 工程師可協助您製作變更集。
如果您提交管理 \$1 其他 \$1 其他 \$1 更新以解決偏離 (在 AWS CloudFormation CloudFormation Service 支援的範圍內),並提供 ChangeSet,然後您可以使用自動化 CT、管理/自訂堆疊/從 CloudFormation 範本/核准變更集和更新來驗證和執行,則 AMS 可以提供協助。
AMS 會維護上述限制,以協助確保沒有非預期或非預期的資源刪除。
如需詳細資訊,請參閱[對 AWS CloudFormation 進行故障診斷:刪除堆疊失敗](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors-delete-stack-fails)。
### RFC 更新 DNS 錯誤
更新 DNS 託管區域的多個 RFCs 可能會失敗,有些可能沒有原因。同時建立多個 RFCs以更新 DNS 託管區域 (私有或公有) 可能會導致某些 RFCs因為它們同時嘗試更新相同的堆疊。AMS 變更管理拒絕或失敗無法更新堆疊的 RFCs,因為堆疊已由另一個 RFC 更新。AMS 建議您一次建立一個 RFC,並等待 RFC 成功,然後再為相同的堆疊提出新的 RFC。
### RFC IAM 實體錯誤
AMS 會將多個預設 IAM 角色和設定檔佈建至專為滿足您的需求而設計的 AMS 帳戶。不過,您可能需要偶爾請求額外的 IAM 資源。
提交請求自訂 IAM 資源RFCs 程序遵循手動 RFCs的標準工作流程,但核准程序也包含安全審查,以確保採取適當的安全控制。因此,程序通常需要比其他手動 RFCs更長的時間。若要縮短這些 RFCs的週期時間,請遵循下列準則。
如需 IAM 審核的含義及其如何映射至技術標準和風險接受程序的資訊,請參閱 [了解 RFC 安全性審查](rfc-security.md)。
常見的 IAM 資源請求:
+ 如果您要求與主要雲端相容應用程式相關的政策,例如 CloudEndure,請參閱 AMS 預先核准的 IAM CloudEndure 政策:解壓縮 [WIGs 雲端持久性登陸區域範例](samples/wigs-ce-lz-examples.zip)檔案並開啟 `customer_cloud_endure_policy.json`
**注意**
如果您想要更寬鬆的政策,請與您的 CloudArchitect/CSDM 討論您的需求,並視需要在提交實作政策的 RFC 之前取得 AMS 安全審查和簽署。
+ 如果您想要修改 AMS 預設在帳戶中部署的資源,建議您要求修改後的資源複本,而不是變更現有的資源複本。
+ 如果您要請求人類使用者的許可 (而不是將許可連接到使用者) 將許可連接到角色,然後授予使用者擔任該角色的許可。如需執行此操作的詳細資訊,請參閱[暫時 AMS Advanced 主控台存取](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html)。
+ 如果您需要臨時遷移或工作流程的特殊許可,請在請求中提供這些許可的結束日期。
+ 如果您已與安全團隊討論請求的主旨,請盡可能向 CSDM 提供其核准的證據,並提供詳細資訊。
如果 AMS 拒絕 IAM RFC,我們會提供拒絕的明確原因。例如,我們可能會拒絕 IAM 政策建立請求,並解釋政策的不適當之處。在這種情況下,您可以進行已識別的變更並重新提交請求。如果需要進一步釐清請求的狀態,請提交服務請求,或聯絡您的 CSDM。
下列清單說明 AMS 檢閱 IAM RFCs 時嘗試緩解的典型風險。如果您的 IAM RFC 有任何這些風險,可能會導致 RFC 遭到拒絕。如果您需要例外狀況,AMS 會向您的安全團隊請求核准。若要尋求此類例外狀況,請與 CSDM 協調。
**注意**
AMS 可能會基於任何原因拒絕對帳戶內部 IAM 資源的任何變更。如需有關 RFC 拒絕的疑慮,請透過服務請求聯絡 AMS Operations,或聯絡您的 CSDM。
+ 權限提升,例如允許您修改自己的許可,或修改帳戶中其他資源許可的許可。範例:
+ 使用 `iam:PassRole`搭配另一個更特殊權限的角色。
+ 從角色或使用者連接/移除 IAM 政策的許可。
+ 帳戶中 IAM 政策的修改。
+ 在管理基礎設施環境中進行 API 呼叫的能力。
+ 修改為您提供 AMS 服務所需的資源或應用程式的許可。範例:
+ 修改 AMS 基礎設施,例如堡壘、管理主機或 EPS 基礎設施。
+ 刪除日誌管理 AWS Lambda 函數或日誌串流。
+ 預設 CloudTrail 監控應用程式的刪除或修改。
+ Directory Services Active Directory (AD) 的修改。
+ 停用 CloudWatch (CW) 警示。
+ 修改 帳戶中部署做為登陸區域一部分的主體、政策和命名空間。
+ 在最佳實務之外部署基礎設施,例如允許在危及資訊安全的狀態下建立基礎設施的許可。範例:
+ 建立公有或未加密的 S3 儲存貯體或公開共用 EBS 磁碟區。
+ 公有 IP 地址的佈建。
+ 修改安全群組以允許廣泛存取。
+ 過於廣泛的許可,可能導致應用程式影響,例如可能導致基礎設施和帳戶中應用程式的資料遺失、完整性遺失、不當組態或服務中斷的許可。範例:
+ 透過 `ModifyNetworkInterfaceAttribute`或 等 APIs 停用或重新導向網路流量`UpdateRouteTable`。
+ 透過從受管主機分離磁碟區來停用受管基礎設施。
+ 不屬於 AMS 服務描述且 AMS 不支援的服務許可。
AMS 服務描述中未列出的服務無法在 AMS 帳戶中使用。若要請求支援某項功能或服務,請聯絡您的 CSDM。
+ 不符合您所述目標的許可,因為這些許可太慷慨或過於保守,或是套用至錯誤的資源。範例:
+ 請求對具有強制 KMS 加密的 S3 儲存貯體的`s3:PutObject`許可,而沒有相關金鑰的`KMS:Encrypt`許可。
+ 與帳戶中不存在的資源相關的許可。
+ IAM RFCs,其中 RFC 的描述似乎不符合請求。
## 「部署」RFC 錯誤
AMS「部署」類別變更類型 CTs) 可讓您請求將各種 AMS 支援的資源新增至您的帳戶。
大多數建立資源的 AMS CTs 都是以 CloudFormation 範本為基礎。身為客戶,您可以唯讀存取所有 AWS 服務 CloudFormation,包括,您可以使用 CloudFormation 主控台,根據堆疊描述快速識別 CloudFormation 代表您堆疊的堆疊。失敗的堆疊可能處於 DELETE\$1COMPLETE 狀態。識別 CloudFormation 堆疊後,事件會顯示無法建立的特定資源,以及原因。
### 使用 CloudFormation 文件進行疑難排解
大多數 AMS 佈建 RFCs使用 CloudFormation 範本,該文件有助於故障診斷。請參閱該 CloudFormation 範本的文件:
+ 建立應用程式負載平衡器失敗:[AWS::ElasticLoadBalancingV2::LoadBalancer (Application Load Balancer)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-elasticloadbalancingv2-loadbalancer.html)
+ 建立 Auto Scaling 群組:[AWS::AutoScaling::AutoScalingGroup (Auto Scaling 群組)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-as-group.html)
+ 建立 memcached 快取:[AWS::ElastiCache::CacheCluster (快取叢集)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html)
+ 建立 Redis 快取:[AWS::ElastiCache::CacheCluster (快取叢集)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html)
+ 建立 DNS 託管區域 (與建立 DNS 私有/公有搭配使用):[AWS::Route53::HostedZone (R53 託管區域)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-route53-hostedzone.html)
+ 建立 DNS 紀錄集 (與建立 DNS 私有/公有搭配使用):[AWS::Route53::RecordSet (資源紀錄集)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-route53-recordset.html)
+ 建立 EC2 堆疊:[AWS::EC2::Instance (彈性運算雲端)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-instance.html)
+ 建立彈性檔案系統 (EFS):[AWS::EFS::FileSystem (彈性檔案系統)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-efs-filesystem.html)
+ Create Load Balancer:[AWS::ElasticLoadBalancing::LoadBalancer (Elastic Load Balancer)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-elb.html)
+ 建立 RDS 資料庫:[AWS::RDS::DBInstance (關聯式資料庫)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-rds-database-instance.html)
+ 建立 Amazon S3:[AWS::S3::Bucket (簡易儲存服務)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-s3-bucket.html)
+ 建立佇列:[AWS::SQS::Queue (簡易佇列服務)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-sqs-queues.html)
### RFC 建立 AMIs錯誤
Amazon Machine Image (AMI) 是一種範本,其中包含軟體組態 (例如作業系統、應用程式伺服器和應用程式)。您可以從 AMI 啟動執行個體,執行個體是 AMI 的複本,在雲端中以虛擬伺服器的形式執行。AMIs 非常有用,而且需要建立 EC2 執行個體或 Auto Scaling 群組;不過,您必須遵守一些需求:
+ 您為 指定的執行個體`Ec2InstanceId`必須處於停止狀態,RFC 才能成功。請勿將 Auto Scaling 群組 (ASG) 執行個體用於此參數,因為 ASG 會終止已停止的執行個體。
+ 若要建立 AMS Amazon Machine Image (AMI),您必須從 AMS 執行個體開始。在您可以使用執行個體來建立 AMI 之前,您必須先確保其已停止並從其網域取消加入,以做好準備。如需詳細資訊,請參閱[使用 Sysprep 建立標準 Amazon Machine Image](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_EBSbacked_WinAMI.html#23ami-create-standard)
+ 您為新 AMI 指定的名稱在帳戶中必須是唯一的,否則 RFC 失敗。如何執行此操作,請參閱 [AMI \$1 建立](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html),如需詳細資訊,請參閱 和 [AWS AMI 設計](https://aws.amazon.com/answers/configuration-management/aws-ami-design/)。
**注意**
如需準備建立 AMI 的其他資訊,請參閱 [AMI \$1 Create](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html)。
### 建立 EC2s或 ASGs錯誤的 RFCs
對於具有逾時的 EC2 或 ASG 失敗,AMS 建議您確認使用的 AMI 是否已自訂。如果是,請參閱本指南中包含的 AMI 建立步驟 (請參閱 [AMI \$1 Create](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html)),以確保正確建立 AMI。建立自訂 AMI 時的常見錯誤未遵循指南中的步驟來重新命名或叫用 Sysprep。
### 建立 RDS RFCs
Amazon Relational Database Service (RDS) 失敗可能有許多不同的原因,因為您可以在建立 RDS 時使用許多不同的引擎,而且每個引擎都有自己的需求和限制。嘗試建立 AMS RDS 堆疊之前,請仔細檢閱 AWS RDS 參數值,請參閱 [CreateDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html)。
若要進一步了解 Amazon RDS,包括大小建議,請參閱 [Amazon Relational Database Service 文件](https://aws.amazon.com/documentation/rds/)。
### 建立 Amazon S3s 錯誤的 RFCs
建立 S3 儲存貯體時,一個常見的錯誤不是使用儲存貯體的唯一名稱。如果您提交的名稱與先前提交的名稱相同的 S3 儲存貯體建立 CT,將會失敗,因為該 BucketName 中已有 S3 儲存貯體。這將在 CloudFormation 主控台中詳細說明,您將在其中看到堆疊事件顯示儲存貯體名稱已在使用中。
## RFC 驗證與執行錯誤
RFC 失敗和相關訊息在所選 RFC 的 AMS 主控台 RFC 詳細資訊頁面上的輸出訊息中不同:
+ 驗證失敗原因僅適用於狀態欄位
+ 執行失敗原因可在執行輸出和狀態欄位中取得。
![\[Request for change details showing rejected status due to no domain trust found.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/rfcReason.png)
## RFC 錯誤訊息
當您遇到下列所列變更類型 (CTs的錯誤時,您可以使用這些解決方案來協助您尋找問題來源並加以修正。
`{"errorMessage":"An error has occurred during RFC execution. We are investigating the issue.","errorType":"InternalError"}`
如果您在參考下列疑難排解選項後需要進一步協助,請透過 RFC 通訊與 AMS 互動。如需詳細資訊,請參閱 [RFC Correspondence and Attachment (主控台)](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence)。
### 工作負載擷取 (WIGS) 錯誤
**注意**
您可以下載適用於 Windows 和 Linux 的驗證工具,並直接在內部部署伺服器以及 AWS 中的 EC2 執行個體上執行。這些可透過 *AMS 進階應用程式開發人員指南*[的遷移工作負載:Linux 擷取前驗證](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-linux-validation.html)和[遷移工作負載:Windows 擷取前驗證](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-win-validation.html)找到。
+ 確定 EC2 執行個體存在於目標 AMS 帳戶中。例如,如果您已將 AMI 從非 AMS 帳戶共用到 AMS 帳戶,您必須先使用共用 AMI 在 AMS 帳戶中建立 EC2 執行個體,才能提交工作負載擷取 RFC。
+ 檢查連接至執行個體的安全群組是否允許輸出流量。SSM 代理程式需要能夠連線到其公有端點。
+ 檢查執行個體是否具有與 SSM 代理程式連線的正確許可。這些許可隨附於 `customer-mc-ec2-instance-profile`,您可以在 EC2 主控台中檢查此項目:
![\[EC2 instance details showing IAM role set to customer-mc-ec2-instance-profile.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/ec2ConsoleWCircle.png)
### EC2 執行個體堆疊停止錯誤
+ 檢查執行個體是否已處於已停止或終止狀態。
+ 如果 EC2 執行個體在線上且您看到`InternalError`錯誤,請提交服務請求讓 AMS 進行調查。
+ 請注意,您無法使用變更類型管理 \$1 進階堆疊元件 \$1 EC2 執行個體堆疊 \$1 停止 ct-3mvt2zkyveqj 來停止 Auto Scaling 群組 (ASG) 執行個體。如果您需要停止 ASG 執行個體,請提交服務請求。
### EC2 執行個體堆疊建立錯誤
`InternalError` 訊息來自 CloudFormation;CREATION\$1FAILED 狀態原因。您可以依照下列步驟,在 CloudWatch 堆疊事件中找到堆疊失敗的詳細資訊:
+ 在 AWS 管理主控台中,您可以在建立、更新或刪除堆疊時檢視堆疊事件的清單。從這個清單中找到故障的事件,然後檢視該事件的狀態原因。
狀態原因可能包含來自 AWS CloudFormation 或特定服務的錯誤訊息,可協助您了解問題。
+ 如需檢視堆疊事件的詳細資訊,請參閱 [ AWS 管理主控台上的檢視 AWS CloudFormation 堆疊資料和資源](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html)。
### EC2 執行個體磁碟區還原錯誤
當 EC2 執行個體磁碟區還原失敗時,AMS 會建立內部故障診斷 RFC。這是因為 EC2 執行個體磁碟區還原是災難復原 (DR) 的重要部分,而 AMS 會自動為您建立此內部故障診斷 RFC。
建立內部故障診斷 RFC 時,會顯示橫幅,為您提供 RFC 的連結。此內部故障診斷 RFC 可讓您更清楚地了解 RFC 失敗,而不是提交導致相同錯誤的重試 RFCs,或讓您針對此失敗手動聯絡 AMS,您可以追蹤您的變更,並知道 AMS 正在處理失敗。這也會減少其變更time-to-recovery (TTR) 指標,因為 AMS Operators 會主動處理 RFC 失敗,而不是等待您的請求。
## 如何取得 RFC 的說明
您可以聯絡 AMS 來識別失敗的根本原因。AMS 營業時間為一年 365 天、每週 7 天、每天 24 小時。
AMS 提供多種管道供您尋求協助。
+ 如果您需要對已完成但不正確的開放 RFC 或 RFC 的協助,請透過 RFC 雙向通訊與 AMS 互動。如需詳細資訊,請參閱 [RFC Correspondence and Attachment (主控台)](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence)。
+ 若要報告影響受管環境的 AWS 或 AMS 服務效能問題,請使用 AMS 主控台並提交事件報告。如需詳細資訊,請參閱[報告事件](https://docs.aws.amazon.com/managedservices/latest/userguide/gui-ex-report-incident.html)。如需 AMS 事件管理的一般資訊,請參閱[事件回應](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html)。
+ 有關您或您的資源或應用程式如何使用 AMS 的特定問題,或要呈報事件,請傳送電子郵件至下列一或多個:
1. 首先,如果您不滿意服務請求或事件報告回應,請傳送電子郵件給 CSDM:ams-csdm@amazon.com
1. 接下來,如果需要呈報,您可以傳送電子郵件給 AMS Operations Manager (但您的 CSDM 可能會這樣做):ams-opsmanager@amazon.com
1. 進一步呈報將向 AMS Director 呈報:ams-director@amazon.com
1. 最後,您可以隨時聯絡 AMS VP:ams-vp@amazon.com
# AMS 中的直接變更模式
**Topics**
+ [直接變更模式入門](dcm-get-started.md)
+ [安全與合規](dcm-security-n-compliance.md)
+ [直接變更模式中的變更管理](dcm-change-mgmt.md)
+ [使用直接變更模式建立堆疊](dcm-creating-stacks.md)
+ [直接變更模式使用案例](dcm-use-cases.md)
AWS Managed Services (AMS) 直接變更模式 (DCM) 透過提供 AMS Advanced Plus 和 Premium 帳戶的原生 AWS 存取權來佈建和更新 AWS 資源,以擴展 AMS 進階變更管理。使用 DCM 時,您可以選擇使用原生 AWS API (主控台或 CLI/SDK) 或 AMS 進階變更管理變更請求 (RFCs),而且在任何一種情況下,AMS 都完全支援資源和變更,包括監控、修補程式、備份、事件回應管理。透過 DCM 佈建的資源會在 AMS 服務知識管理系統 (SKMS) 中註冊、加入 AMS 受管 Active Directory 網域 (如適用),並執行 AMS 管理代理程式。使用現有的工具 (例如 CloudFormation、 AWS SDK 和 CDK) 來開發和部署 AMS 受管 CloudFormation 堆疊。
**注意**
直接變更模式不會移除 AMS 變更管理 RFCs。您可以使用 DCM 完整存取 AMS RFCs。
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob)
# 直接變更模式入門
首先檢查先決條件,然後在符合資格的 AMS Advanced 帳戶中提交變更請求 (RFC)。
1. 確認您想要與 DCM 搭配使用的帳戶符合要求:
+ 帳戶是 AMS Advanced Plus 或 Premium。
+ 帳戶未啟用 Service Catalog。我們目前不支援同時將帳戶加入 DCM 和服務目錄。如果您已加入 Service Catalog,但對 DCM 感興趣,請與您的雲端服務交付管理員 (CSDM) 討論您的需求。如果您決定從 Service Catalog 切換到 DCM、離機 Service Catalog,若要這樣做,請在下面的變更請求中加入 ask。如需 AMS 中 Service Catalog 的詳細資訊,請參閱 [AMS 和服務目錄](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html)。
1. 使用 管理 \$1 受管帳戶 \$1 直接變更模式 \$1 啟用變更類型 (ct-3rd4781c2nnhp) 提交變更請求 (RFC)。如需逐步解說範例,請參閱[直接變更模式 \$1 啟用](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html)。
處理 CT 之後,預先定義的 IAM 角色`AWSManagedServicesCloudFormationAdminRole`和 `AWSManagedServicesUpdateRole` 會在指定的帳戶中佈建。
1. 使用內部聯合程序,將適當的角色指派給需要 DCM 存取的使用者。
**注意**
您可以指定任意數量的 SAMLIdentityProviders、 AWS Services 和 IAM 實體 (角色、使用者等) 來擔任角色。您必須提供至少一個:`SAMLIdentityProviderARNs`、 `IAMEntityARNs`或 `AWSServicePrincipals`。如需詳細資訊,請洽詢您公司的 IAM 部門或 AMS 雲端架構師 (CA)。
## 直接變更模式 IAM 角色和政策
在 帳戶中啟用直接變更模式時,會部署這些新的 IAM 實體:
`AWSManagedServicesCloudFormationAdminRole`:此角色會授予 CloudFormation 主控台的存取權、建立和更新 CloudFormation 堆疊、檢視偏離報告,以及建立和執行 CloudFormation ChangeSets。此角色的存取權是透過 SAML 供應商管理。
部署並連接到角色`AWSManagedServicesCloudFormationAdminRole`的受管政策如下:
+ AMS 進階多帳戶登陸區域 (MALZ) 應用程式帳戶
+ AWSManagedServices\$1CloudFormationAdminPolicy1
+ AWSManagedServices\$1CloudFormationAdminPolicy2
+ 此政策代表授予 的許可`AWSManagedServicesCloudFormationAdminRole`。您和合作夥伴使用此政策來授予帳戶中現有角色的存取權,並允許該角色啟動和更新帳戶中的 CloudFormation 堆疊。這可能需要額外的 AMS 服務控制政策 (SCP) 更新,以允許其他 IAM 實體啟動 CloudFormation 堆疊。
+ AMS 進階單一帳戶登陸區域 (SALZ) 帳戶
+ AWSManagedServices\$1CloudFormationAdminPolicy1
+ AWSManagedServices\$1CloudFormationAdminPolicy2
+ cdk-legacy-mode-s3-access 【內嵌政策】
+ AWS ReadOnlyAccess 政策
`AWSManagedServicesUpdateRole`:此角色會授予下游 AWS 服務 APIs的限制存取權。該角色部署的受管政策提供變動和非變動 API 操作,但一般限制變動操作 (例如Create/Delete/PUT),針對某些服務,例如 IAM、KMS、GuardDuty、VPC、AMS 基礎設施資源和組態等。此角色的存取是透過 SAML 供應商管理。
部署並連接到角色`AWSManagedServicesUpdateRole`的受管政策如下:
+ AMS 進階多帳戶登陸區域 應用程式帳戶
+ AWSManagedServicesUpdateBasePolicy
+ AWSManagedServicesUpdateDenyPolicy
+ AWSManagedServicesUpdateDenyProvisioningPolicy
+ AWSManagedServicesUpdateEC2AndRDSPolicy
+ AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy
+ AMS 進階單一帳戶登陸區域帳戶
+ AWSManagedServicesUpdateBasePolicy
+ AWSManagedServicesUpdateDenyProvisioningPolicy
+ AWSManagedServicesUpdateEC2AndRDSPolicy
+ AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy1
+ AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy2
除此之外,受管政策`AWSManagedServicesUpdateRole`角色還`ViewOnlyAccess`連接了 AWS 受管政策。
# 安全與合規
安全與合規是 AMS Advanced 與身為客戶的您共同的責任。AMS Advanced Direct Change 模式不會變更此共同責任。
## 直接變更模式中的安全性
AMS Advanced 提供具有規範登陸區域、變更管理系統和存取管理的額外值。使用直接變更模式時,此責任模型不會變更。不過,您應該知道其他風險。
直接變更模式「更新」角色 (請參閱[直接變更模式 IAM 角色和政策](dcm-get-started.md#dcm-gs-iam-roles-and-policies)) 提供提升的許可,允許可存取該角色的實體變更您帳戶中 AMS 支援服務的基礎設施資源。隨著許可提高,根據資源、服務和動作,存在各種風險,尤其是在由於監督、錯誤或沒有遵守內部程序和控制架構而導致不正確的變更的情況下。
根據 AMS 技術標準,已識別下列風險並提出建議,如下所示。有關 AMS 技術標準的詳細資訊可透過 取得 AWS Artifact。若要存取 AWS Artifact,請聯絡您的 CSDM 以取得指示,或前往 [入門 AWS Artifact](https://aws.amazon.com/artifact/getting-started)。
**AMS-STD-001:標記**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
**AMS-STD-002:身分與存取管理 (IAM)**
| 標準 | 是否會中斷 | 風險 | 建議 |
| --- | --- | --- | --- |
| 4.7 不允許繞過變更管理程序 (RFC) 的動作,例如啟動或停止執行個體、建立 S3 儲存貯體或 RDS 執行個體等。只要在指派角色的邊界內執行動作,開發人員模式帳戶和自助式佈建模式服務 (SSPS) 就會豁免。 | 是。自助服務動作的目的可讓您執行繞過 AMS RFC 系統的動作。 | 安全存取模型是 AMS 的核心技術面向,而主控台或程式設計存取的 IAM 使用者會規避此存取控制。AMS 變更管理不會監控 IAM 使用者存取。存取只會記錄在 CloudTrail 中。 | IAM 使用者應該有時間限制,並根據最低權限和need-to-know授予許可。 |
**AMS-STD-003:網路安全**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
**AMS-STD-007:記錄**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
與您的內部授權和身分驗證團隊合作,相應地控制直接變更模式角色的許可。
## 直接變更模式中的合規
直接變更模式與生產和非生產工作負載相容。您有責任確保遵守任何合規標準 (例如 PHI、HIPAA、PCI),並確保使用直接變更模式符合您的內部控制架構和標準。
# 直接變更模式中的變更管理
變更管理是 AMS Advanced 用來實作變更請求的程序。變更請求 (RFC) 是由您或 AMS Advanced 透過 AMS Advanced 界面建立的請求,用於對您的受管環境進行變更,並包含特定操作的 AMS Advanced 變更類型 (CT) ID。如需詳細資訊,請參閱[變更管理](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-what-is.html)。
**注意**
直接變更模式不會移除 AMS 變更管理 RFCs,您仍然可以使用 DCM 完整存取 AMS RFCs。
AMS 直接變更模式 (DCM) 透過提供 AMS Advanced Plus 和 Premium 帳戶的原生 AWS 存取權來佈建和更新 AWS 資源,以擴展 AMS 進階變更管理。已透過 IAM 角色授予直接變更模式許可的使用者,可以使用原生 AWS API 存取來佈建和變更其 AMS Advanced 帳戶中的資源。使用者仍然可以使用相同的 IAM 角色來使用 AMS 進階變更管理 RFCs。在這兩種情況下,AMS 都完全支援資源和變更,包括監控、修補、備份、事件回應管理。在這些帳戶中沒有適當角色的使用者,必須使用 AMS 進階變更管理 RFC 程序進行變更。
## 變更管理使用案例
基於安全考量,AMS Advanced 中的某些變更只能透過變更管理請求 (RFC) 程序來完成。`AWSManagedServicesCloudFormationAdminRole` 僅限於透過 CloudFormation (CFN) 採取的動作。如需如何透過 DCM 建立堆疊的詳細資訊,請參閱[使用直接變更模式建立堆疊](https://docs.aws.amazon.com/managedservices/latest/userguide/dcm-creating-stacks.html)。`AWSManagedServicesUpdateRole` 受限於下列動作。
如需每個變更類型的範例逐步解說,包括管理 \$1 受管帳戶 \$1 直接變更模式 \$1 啟用 (ct-3rd4781c2nnhp) 變更類型,請參閱 *AMS 進階變更類型參考*[依分類變更](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html)類型區段中相關變更類型的「其他資訊」一節。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/dcm-change-mgmt.html)
# 使用直接變更模式建立堆疊
使用 在 CloudFormation 中啟動堆疊時,有兩個要求`AWSManagedServicesCloudFormationAdminRole`,以便 AMS 管理堆疊:
+ 範本必須包含 `AmsStackTransform`。
+ 堆疊名稱必須以字首開頭,`stack-`後面接著 17 個字元的英數字串。
**注意**
若要成功使用 `AmsStackTransform`,您必須確認堆疊範本包含 `CAPABILITY_AUTO_EXPAND`功能,以便 CloudFormation (CFN) 建立或更新堆疊。您可以在 create-stack 請求中傳遞 `CAPABILITY_AUTO_EXPAND`來執行此操作。如果在範本中`AmsStackTransform`包含 時未確認此功能,CFN 會拒絕請求。如果您的範本中有轉換,CFN 主控台會確保您傳遞此功能,但當您透過其 APIs 與 CFN 互動時,可能會遺漏此功能。
每當您使用下列 CFN API 呼叫時,都必須傳遞此功能:
[CreateChangeSet](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateChangeSet.html)
[ CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html#API_CreateStack_RequestParameters)
[UpdateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStack.html)
使用 DCM 建立或更新堆疊時,會在堆疊上執行 CFN 擷取和堆疊更新 CTs 的相同驗證和增強,如需詳細資訊[CloudFormation ,請參閱擷取指導方針、最佳實務和限制](https://docs.aws.amazon.com/managedservices/latest/appguide/cfn-author-templates.html)。例外情況是,AMS 預設安全群組 (SGs) 不會連接到 Auto Scaling 群組 (ASGs) 中的任何獨立 EC2 執行個體或 EC2 執行個體。當您使用獨立 EC2 執行個體或 ASGs 建立 CloudFormation 範本時,您可以連接預設 SGs。
**注意**
IAM 角色現在可以使用 建立和管理`AWSManagedServicesCloudFormationAdminRole`。
AMS 預設 SGs 具有輸入和輸出規則,允許執行個體成功啟動,並在稍後透過 AMS 操作與您透過 SSH 或 RDP 存取。如果您發現 AMS 預設安全群組過於寬鬆,您可以使用更嚴格的規則建立自己的 SGs,並將其連接到執行個體,只要它仍然允許您和 AMS 操作在事件期間存取執行個體。
AMS 預設安全群組如下:
+ SentinelDefaultSecurityGroupPrivateOnly:可透過此 SSM 參數在 CFN 範本中存取 `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnly`
+ SentinelDefaultSecurityGroupPrivateOnlyEgressAll:可透過此 SSM 參數在 CFN 範本中存取 `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnlyEgressAll`
## AMS 轉換
將`Transform`陳述式新增至 CloudFormation 範本。這會新增 CloudFormation 巨集,以在啟動時向 AMS 驗證和註冊堆疊。
**JSON **範例
```
"Transform": {
"Name": "AmsStackTransform",
"Parameters": {
"StackId": {"Ref" : "AWS::StackId"}
}
}
```
**YAML **範例
```
Transform:
Name: AmsStackTransform
Parameters:
StackId: !Ref 'AWS::StackId'
```
更新現有堆疊的範本時,也請新增 `Transform`陳述式。
**JSON **範例
```
{
"AWSTemplateFormatVersion": "2010-09-09",
"Description" : "Create an SNS Topic",
"Transform": {
"Name": "AmsStackTransform",
"Parameters": {
"StackId": {"Ref" : "AWS::StackId"}
}
},
"Parameters": {
"TopicName": {
"Type": "String",
"Default": "HelloWorldTopic"
}
},
"Resources": {
"SnsTopic": {
"Type": "AWS::SNS::Topic",
"Properties": {
"TopicName": {"Ref": "TopicName"}
}
}
}
}
```
**YAML **範例
```
AWSTemplateFormatVersion: '2010-09-09'
Description: Create an SNS Topic
Transform:
Name: AmsStackTransform
Parameters:
StackId: !Ref 'AWS::StackId'
Parameters:
TopicName:
Type: String
Default: HelloWorldTopic
Resources:
SnsTopic:
Type: AWS::SNS::Topic
Properties:
TopicName: !Ref TopicName
```
## 堆疊名稱
堆疊名稱必須以字首開頭,`stack-`後面接著 17 個字元的英數字串。這是為了維持與在 AMS 堆疊 IDs 上操作之其他 AMS 系統的相容性。
以下是產生相容堆疊 IDs的方法範例:
Bash:
```
echo "stack-$(env LC_CTYPE=C tr -dc 'a-z0-9' < /dev/urandom | head -c 17)"
```
Python:
```
import string
import random
'stack-' + ''.join(random.choices(string.ascii_lowercase + string.digits, k=17))
```
Powershell:
```
"stack-" + ( -join ((0x30..0x39) + ( 0x61..0x7A) | Get-Random -Count 17 | % {[char]$_}) )
```
# 直接變更模式使用案例
以下是直接變更模式的使用案例:
**透過 進行資源佈建和管理 CloudFormation**
+ 整合現有的 CloudFormation 型工具和程序。
**持續的資源管理和更新**
+ 低風險的小型原子變化。
+ 否則會透過手動或自動 RFC 執行的變更。
+ 需要原生 AWS API 存取的工具。
+ 如果您處於遷移階段,則可以使用 DCM 角色。遷移團隊會利用 DCM 上的許可來建立或修改堆疊。
+ DCM 角色可用於 CI/CD 管道,以建立新的 AMIs、建立 Amazon ECS 任務等。
# AMS 進階開發人員模式
**Topics**
+ [AMS 進階開發人員模式入門](developer-mode-implement.md)
+ [開發人員模式中的安全性和合規性](developer-mode-security-and-compliance.md)
+ [在開發人員模式下變更管理](developer-mode-change-management.md)
+ [在 AMS 開發人員模式下佈建基礎設施](developer-mode-provisioning.md)
+ [AMS 開發人員模式下的偵測控制](developer-mode-detective-controls.md)
+ [在 AMS 開發人員模式下記錄、監控和事件管理](developer-mode-logging.md)
+ [AMS 開發人員模式下的事件管理](developer-mode-incident-management.md)
+ [AMS 開發人員模式下的修補程式管理](developer-mode-patch-management.md)
+ [AMS 開發人員模式下的持續性管理](developer-mode-continuity.md)
+ [AMS 開發人員模式下的安全性和存取管理](developer-mode-security-and-access.md)
AWS Managed Services (AMS) 開發人員模式使用 AMS Advanced Plus 和 Premium 帳戶中的更高許可,在 AMS Advanced 變更管理程序之外佈建和更新 AWS 資源。AMS Advanced Developer 模式透過在 AMS Advanced Virtual Private Cloud (VPC) 中利用原生 AWS API 呼叫來執行此操作,讓您能夠在受管環境中設計和實作基礎設施和應用程式。
使用已啟用開發人員模式的帳戶時,系統會為透過 AMS 進階變更管理程序或使用 AMS Amazon Machine Image (AMI) 佈建的資源提供持續性管理、修補程式管理和變更管理。不過,這些 AMS 管理功能不適用於透過 AWS APIs 佈建的資源。
您有責任監控在 AMS 進階變更管理程序之外佈建的基礎設施資源。開發人員模式與生產和非生產工作負載相容。透過提高的許可,您更有責任確保遵守內部控制。
**重要**
您使用開發人員模式建立的資源只有在使用 AMS 進階變更管理程序建立時,才能由 AMS Advanced 管理。
開發人員模式是您可以採用的 AMS 進階模式之一。如需詳細資訊,請參閱[模式概觀](ams-modes-ug.md)。
# AMS 進階開發人員模式入門
了解具有 AMS 進階開發人員模式的各種 AMS 進階帳戶,以及如何成功實作開發人員模式。
**Topics**
+ [開始之前](developer-mode-faqs.md)
+ [開發人員模式的先決條件](#developer-mode-implement-prerequisites)
+ [如何實作開發人員模式](#developer-mode-implement-steps)
+ [開發人員模式許可](#developer-mode-role)
# 開始使用 AMS 開發人員模式之前
在實作開發人員模式之前,您應該知道幾件事。
AMS Advanced 無法管理 DevMode 帳戶中透過變更請求 (RFCs) 在 AMS Advanced 變更管理程序之外建立的現有堆疊或資源。不過,當帳戶位於 DevMode 時,AMS Advanced 會繼續使用 RFCs 管理透過 AMS Advanced 變更管理程序佈建的資源。
您無法從 DevMode 帳戶開始,之後再將其隱藏到 AMS 進階受管應用程式帳戶。
## AMS 開發人員模式的先決條件
以下是實作開發人員模式的先決條件:
+ 您必須是至少擁有一個已加入 AMS Advanced Plus 或 Premium 帳戶的 AMS Advanced 客戶。
+ 您使用的任何帳戶都必須是 AMS Advanced Plus 或 Premium 帳戶。
+ **多帳戶登陸區域 (MALZ)**:您必須使用`AWSManagedServicesDevelopmentRole`預先定義的 AWS Identity and Access Management (IAM) 角色。您請求此角色。下一節說明如何取得開發人員模式許可。
+ **單一帳戶登陸區域 (SALZ)**:您必須使用`customer_developer_role`預先定義的 AWS Identity and Access Management (IAM) 角色。您請求此角色。下一節說明如何取得開發人員模式許可。
## 如何實作 AMS 進階開發人員模式
您可以請求使用預先定義的 IAM 角色佈建符合資格的 AMS Advanced 帳戶,以實作開發人員模式:
+ **MALZ**: `AWSManagedServicesDevelopmentRole`
+ **SALZ**: `customer_developer_role`
然後,您將角色指派給聯合網路中的相關使用者。
AMS Advanced 建議您確保使用開發人員模式符合您的內部控制架構和標準,因為開發人員模式會建立兩種變更向量:適用於 AMS 進階受管資源的 AMS 進階變更管理,以及適用於您身為客戶所管理資源的客戶受管角色聯合。雖然 AMS Advanced 程序仍符合我們的宣告,但客戶程序和控制架構可能需要更新。
**在 AMS Advanced 帳戶中實作開發人員模式**
1. 確認您要搭配開發人員模式使用的 帳戶符合 中列出的要求[AMS 開發人員模式的先決條件](#developer-mode-implement-prerequisites)。
1. 使用變更類型 (CT) 管理 \$1 受管帳戶 \$1 開發人員模式 \$1 啟用 (受管自動化) 提交變更請求 (RFC)。如需如何使用此 CT 的範例,請參閱[開發人員模式 \$1 啟用 (受管自動化)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-developer-mode-enable-review-required.html)。
處理 CT 之後,會在請求的帳戶中佈建預先定義的 IAM 角色 (`AWSManagedServicesDevelopmentRole`**MALZ** 為 ,**SALZ** `customer_developer_role`為 )。
1. 使用內部聯合程序,將適當的角色指派給需要開發人員模式存取的使用者。
AMS Advanced 建議您限制存取,以防止不需要或未核准的資源佈建或變更。
## AMS 進階開發人員模式許可
預先定義的 角色 (`AWSManagedServicesDevelopmentRole`適用於 **MALZ**、`customer_developer_role`適用於 **SALZ**) 會授予許可,以在 AMS Advanced VPC 內建立應用程式基礎設施資源,包括 IAM 角色,同時限制存取由 AMS Advanced 操作的*共用服務*元件 (例如,管理主機、網域控制站、Trend Micro EPS、堡壘和不支援的 AWS 服務)。此角色也會限制對下列項目的存取 AWS 服務:Amazon GuardDuty AWS Organizations、 AWS Directory Service APIs 和 AMS Advanced 日誌。
雖然角色允許您建立其他 IAM 角色,但開發人員模式存取中包含的相同許可界限會在 建立的任何 IAM 角色上強制執行`AWSManagedServicesDevelopmentRole`。
# 開發人員模式中的安全性和合規性
安全與合規是 AMS Advanced 與身為客戶的您共同的責任。AMS Advanced Developer 模式會將變更管理程序外佈建或透過變更管理佈建,但使用開發人員模式許可更新之資源的共同責任轉移給您。如需共同責任的詳細資訊,請參閱 [AWS Managed Services](https://aws.amazon.com/managed-services/)。
**注意:**
+ DevMode 可讓您和您的授權團隊略過 AMS 安全性核心的deny-by-default原則。優點、自助服務、較少等待 AMS 的時間必須權衡缺點,任何人都可以在不了解其安全團隊的情況下執行非預期且破壞性的動作。用於啟用開發模式和直接變更模式的自動變更類型會公開,且組織中任何獲授權的人員都可以執行這些 CTs 並啟用這些模式。
+ 您負責從使用者基礎管理 CT 執行的許可。
+ AMS 不會管理 CT 執行許可
**建議:**
+ **保護**
+ 客戶可以透過許可防止存取此 CT,請參閱[使用 IAM 角色政策陳述式限制許可](https://docs.aws.amazon.com/managedservices/latest/userguide/request-iam-user.html)
+ 透過實作 ITSM 系統等代理來防止存取此 CT
+ 使用可視需要防止政策和行為的服務控制政策 (SCPs),請參閱 [AMS Preventative and Detective Controls Library](https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html)
+ **偵測**
+ 監控 RFC 的這些 CTs (啟用開發人員模式 ct-1opjmhuddw194 和直接變更模式、啟用 ct-3rd4781c2nnhp) 是否正在執行並相應地回應
+ 檢閱和/或稽核您的帳戶是否存在 IAM 資源,以識別已部署開發人員模式或直接變更模式的帳戶
+ **回應**
+ 視需要在開發人員模式中移除帳戶
## 開發人員模式中的安全性
AMS Advanced 提供具有規範登陸區域、變更管理系統和存取管理的額外值。使用開發人員模式時,會使用建立基準 AMS Advanced 安全性強化網路的標準 AMS Advanced 帳戶之相同帳戶組態,來保留 AMS Advanced 的安全值。網路受到角色中強制執行的許可界限 (`AWSManagedServicesDevelopmentRole`適用於 **MALZ**,`customer_developer_role`適用於 **SALZ**) 的保護,這會限制使用者分解帳戶設定時建立的參數保護。
例如,具有 角色的使用者可以存取 Amazon Route 53,但 AMS Advanced 內部託管區域受到限制。相同的許可界限會在 建立的 IAM 角色上強制執行`AWSManagedServicesDevelopmentRole`,在 上強制執行許可界限`AWSManagedServicesDevelopmentRole`,以限制使用者細分帳戶加入 AMS Advanced 時建立的參數保護。
## 開發人員模式中的合規
開發人員模式與生產和非生產工作負載相容。您有責任確保遵守任何合規標準 (例如 PHI、HIPAA、PCI),並確保使用開發人員模式符合您的內部控制架構和標準。
# 在開發人員模式下變更管理
變更管理是 AMS Advanced 服務用來實作變更請求的程序。變更請求 (RFC) 是由您或 AMS Advanced 透過 AMS Advanced 界面建立的請求,用於對受管環境進行變更,並包含特定操作的變更類型 (CT) ID。如需詳細資訊,請參閱[變更管理模式](using-change-management.md)。
在授予開發人員模式許可的 AMS Advanced 帳戶中,不會強制執行變更管理。已使用 IAM 角色 (`AWSManagedServicesDevelopmentRole`適用於 **MALZ**、`customer_developer_role`適用於 **SALZ**) 授予開發人員模式許可的使用者,可以使用原生 AWS API 存取來佈建和變更其 AMS Advanced 帳戶中的資源。在這些帳戶中沒有適當角色的使用者,必須使用 AMS 進階變更管理程序進行變更。
**重要**
您使用開發人員模式建立的資源,只有在使用 AMS 進階變更管理程序建立時,才能由 AMS Advanced 管理。AMS Advanced 會拒絕針對在 AMS Advanced 變更管理程序之外建立的資源提交至 AMS Advanced 的變更請求,因為這些變更必須由您處理。
## 自助式佈建服務 API 限制
開發人員模式支援所有 AMS Advanced 自行佈建服務。對自行佈建服務的存取受個別使用者指南章節中概述的限制約束。如果您的開發人員模式角色無法使用自助佈建服務,您可以透過開發人員模式變更類型請求更新的角色。
下列服務不提供服務 APIs的完整存取權:
**開發人員模式中限制的自助佈建服務**
| 服務 | 備註 |
| --- | --- |
| Amazon API Gateway | 允許所有閘道 APIs呼叫,但 除外`SetWebACL`。 |
| Application Auto Scaling | 只能註冊或取消註冊可擴展的目標,並放置或刪除擴展政策。 |
| AWS CloudFormation | 無法存取或修改名稱字首為 的 CloudFormation 堆疊`mc-`。 |
| AWS CloudTrail | 無法存取或修改名稱字首為 `ams-`和/或 的 CloudTrail 資源`mc-`。 |
| Amazon Cognito (使用者集區) | 無法關聯軟體字符。 無法建立使用者集區、使用者匯入任務、資源伺服器或身分提供者。 |
| AWS Directory Service | `Connect` 和 `WorkSpaces`服務只需要下列 Directory Service 動作。開發人員模式許可界限政策會拒絕所有其他 Directory Service 動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/developer-mode-change-management.html) 在單一帳戶登陸區域帳戶中,邊界政策明確拒絕存取 AMS Advanced 使用的 AMS Advanced 受管目錄,以維護對已啟用開發模式之帳戶的存取。 |
| Amazon Elastic Compute Cloud | 無法存取包含字串的 Amazon EC2 APIs:`DhcpOptions`、`Gateway`、`Subnet`、 `VPC`和 `VPN`。 無法存取或修改標籤字首為 `AMS`、`ManagementHostASG`、 `mc`和/或 的 Amazon EC2 資源`sentinel`。 |
| Amazon EC2 (報告) | 僅授予檢視存取權 (無法修改)。注意:Amazon EC2 報告正在移動。**報告**選單項目將從 Amazon EC2 主控台導覽選單中移除。若要在移除之後檢視 Amazon EC2 用量報告,請使用 AWS Billing 和 Cost Management 主控台。 |
| AWS Identity and Access Management (IAM) | 無法刪除現有的許可界限,或修改 IAM 使用者密碼政策。 除非您使用正確的 IAM 角色 (`AWSManagedServicesDevelopmentRole`適用於 **MALZ**、`customer_developer_role`適用於 **SALZ**)),否則無法建立或修改 IAM 資源。 無法修改字首為:`ams`、`customer_deny_policy`、 `mc`和/或 的 IAM 資源`sentinel`。 建立新的 IAM 資源 (角色、使用者或群組) 時,必須連接許可界限 (**MALZ**:`AWSManagedServicesDevelopmentRolePermissionsBoundary`、**SALZ**:`ams-app-infra-permissions-boundary`)。 |
| AWS Key Management Service (AWS KMS) | 無法存取或修改 AMS 進階受管 KMS 金鑰。 |
| AWS Lambda | 無法存取或修改字首為 的 AWS Lambda 函數`AMS`。 |
| CloudWatch Logs | 無法存取名稱字首為 `mc`、、 `aws``lambda`和/或 的 CloudWatch 日誌串流`AMS`。 |
| Amazon Relational Database Service (Amazon RDS) | 無法存取或修改名稱字首為 的 Amazon Relational Database Service (Amazon RDS) 資料庫 (DBs):`mc-`。 |
| AWS Resource Groups | 只能存取 `Get`、 `List`和 `Search` 資源群組 API 動作。 |
| Amazon Route 53 | 無法存取或修改 Route53 AMS 進階維護的資源。 |
| Amazon S3 | 無法存取名稱字首為:`ams-*`、`ms-a`、 `ams`或 的 Amazon S3 儲存貯體`mc-a`。 |
| AWS Security Token Service | 唯一允許的安全性字符服務 API 是 `DecodeAuthorizationMessage`。 |
| Amazon SNS | 無法存取名稱字首為:`AMS-`、 `Energon-Topic`或 的 SNS 主題`MMS-Topic`。 |
| AWS Systems Manager 管理員 (SSM) | 無法修改字首為 `ams`、 `mc`或 的 SSM 參數`svc`。 無法`SendCommand`針對標籤字首為 `ams`或 的 Amazon EC2 執行個體使用 SSM API`mc`。 |
| AWS 標記 | 您只能存取字首為 的 AWS 標記 API 動作`Get`。 |
| AWS Lake Formation | 下列 AWS Lake Formation API 動作遭拒: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/developer-mode-change-management.html) |
| Amazon Elastic Inference | 您只能呼叫 Elastic Inference API 動作 `elastic-inference:Connect`。此許可包含在連接到 `customer_sagemaker_admin_policy` 的 中`customer_sagemaker_admin_role`。此動作可讓您存取 Elastic Inference 加速器。 |
| AWS Shield | 無法存取任何此服務 APIs或主控台。 |
| Amazon Simple Workflow Service | 無法存取任何此服務 APIs或主控台。 |
# 在 AMS 開發人員模式下佈建基礎設施
沒有開發人員模式 IAM 角色的使用者`AWSManagedServicesDevelopmentRole`,在已啟用開發人員模式的帳戶中,必須遵循利用 AMS 進階 AMIs 的 AMS 進階變更管理程序。具有正確角色 (**MALZ**:`AWSManagedServicesDevelopmentRole`、**SALZ**:`customer_developer_role`) 的使用者可以使用 AMS 進階變更管理系統和 AMS 進階 AMIs但不需要。
**注意**
尚未透過 AMS 進階工作負載擷取處理,或在 AWS AMS 進階帳戶中建立的 AMI,將不會包含 AMS 進階所需組態。
# AMS 開發人員模式下的偵測控制
本節已修訂,因為它包含敏感的 AMS 安全相關資訊。此資訊可透過 AMS 主控台**文件**取得。若要存取 AWS Artifact,您可以聯絡 CSDM 以取得指示,或前往 [AWS Artifact 入門](https://aws.amazon.com/artifact/getting-started)。
# 在 AMS 開發人員模式下記錄、監控和事件管理
記錄、監控和事件管理不適用於在 AMS 進階變更管理程序之外佈建的資源,也不適用於透過變更管理佈建,然後使用開發人員模式許可由帳戶修改的資源。
# AMS 開發人員模式下的事件管理
事件回應時間沒有變更。對於在變更管理程序之外佈建的資源,或是透過變更管理佈建,然後使用開發人員模式許可由帳戶修改的資源,事件解決是最大的努力。
**注意**
AMS 服務水準協議 (SLA) 不適用於在 AMS 變更管理系統 (變更請求或 RFCs) 之外建立或更新的資源,包含開發人員模式;因此,在開發人員模式中更新或建立的資源會自動降級為 P3,AMS 支援會盡最大努力。
# AMS 開發人員模式下的修補程式管理
修補程式管理不適用於在 AMS 進階變更管理程序之外佈建的資源,或透過變更管理佈建的資源,然後使用開發人員模式許可由帳戶修改。修補時間:
+ 對於重大安全性更新:在廠商發佈後 10 個工作天內,透過變更管理佈建的資源,然後由使用開發人員模式許可的帳戶進行變更。
+ 重要更新:在廠商發佈後 2 個月內,透過變更管理佈建的資源,然後由使用開發人員模式許可的帳戶更改。
# AMS 開發人員模式下的持續性管理
持續性管理不適用於在 AMS 進階變更管理程序之外佈建的資源,或透過變更管理佈建,然後使用開發人員模式許可由 帳戶修改的資源。
對於在 AMS 進階變更管理程序之外佈建的資源,或透過變更管理佈建,然後使用開發人員模式許可由帳戶修改的資源,環境復原啟動時間最多可能需要 12 小時。
# AMS 開發人員模式下的安全性和存取管理
對於在 AMS 進階變更管理程序之外佈建的資源,或是透過變更管理佈建,然後使用開發人員模式許可由帳戶修改的資源,反惡意軟體保護是您的責任。未透過 AMS Advanced 變更管理佈建的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的存取權可能由金鑰對控制,而不是提供聯合存取。
# AMS 中的自助式佈建模式
AWS Managed Services (AMS) 自助式佈建 (SSP) 模式可讓您完整存取 AMS 受管帳戶中的原生 AWS 服務和 API 功能。您可以透過標準化、縮小範圍、 AWS Identity and Access Management 角色來存取 服務。AMS 提供服務請求和事件管理。警示、監控、記錄、修補、備份和變更管理是您的責任。在許多情況下,自助式佈建服務 (SSPS) 是自我管理或無伺服器,不需要管理特定操作任務,例如修補。您可以在 AMS 防護機制定義的環境界限內使用這些服務,而任何 IAM 變更 (包括服務連結角色、服務角色、跨帳戶角色或政策更新) 都需要經過 AMS Operations 核准,才能維護平台的基準安全性。您可以利用 CloudFormation 範本來自動化這些服務的部署,但並非所有 SSP 服務都支援此功能。
**重要**
在 AWS Managed Services (AMS) 帳戶中使用 SSP 模式來存取和使用 AWS 服務,但有上述限制。
您可以在沒有 AMS 管理的情況下,在您的 AMS 帳戶中 AWS 服務 使用一些 。「自助式佈建模式」服務,或簡稱為「SSPS」,說明如何將它們新增至您的 AMS 帳戶和每個帳戶的FAQs」,如 一節所述。
自助式佈建服務會照原樣提供,而且您需負責管理這些服務。AMS 不會對與這些服務相關聯的資源提供提醒、監控、記錄或修補。AMS 提供 IAM 角色,可讓您安全地在 AMS 帳戶中使用服務。AMS SLAs 不適用。
對於您透過自助服務佈建的資源,AMS 提供事件管理、偵測控制和防護機制、報告、指定資源 (Cloud Service Delivery Manager 和 Cloud Architect)、安全性和存取,以及透過服務請求提供的技術支援。此外,在適用的情況下,您需為在 AMS 變更管理系統之外佈建或設定的資源承擔持續性管理、修補程式管理、基礎設施監控和變更管理的責任。
# AMS 中的 SSP 模式入門
自助式佈建是您可以用於多帳戶登陸區域 (MALZ) 的 AMS 模式之一。如需詳細資訊,請參閱[模式概觀](ams-modes-ug.md)。
為了提供自助式佈建功能,AMS 已建立具有許可界限的提升 IAM 角色,以限制直接 AWS 服務 存取的意外變更。這些角色不會阻止所有變更,而且您必須遵守內部控制和合規政策,並驗證所有 AWS 服務 正在使用的 都符合必要的認證。這是自助式佈建模式。如需 AWS 合規要求的詳細資訊,請參閱[AWS 合規](https://aws.amazon.com/compliance/)。
若要將自助式佈建服務新增至多帳戶登陸區域應用程式帳戶,請依照服務的指示,使用 **管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增**變更類型 (CT),包括檢閱所需的 CT 或自動 CT。
**注意**
若要請求 AMS 提供額外的自助式佈建服務,請提交服務請求。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon API Gateway
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon API Gateway 功能。[Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) 是一項全受管服務,可讓開發人員輕鬆建立、發佈、維護、監控和保護任何規模APIs。您可以使用 AWS 管理主控台 建立 REST 和 WebSocket APIs,做為應用程式從後端服務存取資料、商業邏輯或功能的大門,例如在 Amazon Elastic Compute Cloud ([Amazon EC2](https://aws.amazon.com/ec2/)) 上執行的工作負載、在 上執行的程式碼[AWS Lambda](https://aws.amazon.com/lambda/)、任何 Web 應用程式或即時通訊應用程式。
API Gateway 會處理所有涉及接受和處理多達數十萬個並行 API 呼叫的任務,包括流量管理、授權和存取控制、監控和 API 版本管理。API Gateway 沒有最低費用或啟動成本。您只需為收到的 API 呼叫和傳出的資料量付費,並且使用 API Gateway 分層定價模型,您可以隨著 API 用量的擴展而降低成本。若要進一步了解,請參閱 [Amazon API Gateway](https://aws.amazon.com/api-gateway/)。
## 常見問答集:AMS 中的 API Gateway
**問:如何請求存取 AMS 帳戶中的 Amazon API Gateway?**
透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 API Gateway。此 RFC 會將下列 IAM 角色佈建至您的帳戶: `customer_apigateway_author_role`和 `customer_apigateway_cloudwatch_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon API Gateway 有哪些限制?**
+ API Gateway 組態僅限於沒有 `AMS-`或 字`MC-`首的資源,以防止對 AMS 基礎設施進行任何修改。
+ `CREATE` VPCLink 的 權限已停用,以防止 Elastic Load Balancer 不受管制的建立。如果需要 VPCLinks,請參閱 [Application Load Balancer \$1 Create](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-application-load-balancer-create.html)。
**問:在我的 AMS 帳戶中使用 Amazon API Gateway 的先決條件或相依性是什麼?**
這取決於您要部署的 API Gateway 類型。它可以是獨立服務,但也可以請求存取現有的服務 (例如網路負載平衡器)。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Alexa for Business
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Alexa for Business 功能。Alexa for Business 是一項服務,可讓您的組織和員工使用 Alexa 來完成更多工作。透過 Alexa for Business,您可以使用 Alexa 作為智慧助理,在會議室、桌上,甚至在家裡或外出時使用的 Alexa 裝置中提高生產力。IT 和設施管理員可以使用 Alexa for Business 來衡量和提高其工作場所中現有會議室的使用率。
若要進一步了解,請參閱 [Alexa for Business](https://aws.amazon.com/alexaforbusiness/)。
## AWS Managed Services 中的 Alexa for Business 常見問答集
**問:如何在我的 AMS 帳戶中請求存取 Alexa for Business?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_alexa_console_role`。`customer_alexa_device_setup_user` 也會為 Alexa for Business 提供的裝置設定工具建立 ;然後,可以使用此裝置設定工具來設定您的裝置。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
Alexa for Business 閘道可讓您將 Alexa for Business 連線至 Cisco Webex 和 Poly Group 系列端點,以使用語音控制會議。閘道軟體會在您的現場部署硬體上執行,並將 Alexa for Business 的會議指令安全地代理到 Cisco 端點。閘道需要兩對 AWS 登入資料才能與 Alexa for Business 通訊。我們為 Alexa for Business 閘道提供兩個有限存取`customer_alexa_gateway_installer_user``customer_alexa_gateway_execution_user`的 IAM 使用者:一個用於安裝閘道,另一個用於操作閘道;您可以透過使用 部署 \$1 進階堆疊元件 \$1 Identity and Access Management (IAM) \$1 建立實體或政策 (受管自動化) 變更類型 (ct-3dpd8mdd9jn1r) 提交 RFC 來請求這些使用者。
**注意**
若要產生用量報告並將其傳送至 Amazon S3,請在自行佈建的服務 RFC 中指定 Amazon S3 儲存貯體名稱。
**問:在我的 AMS 帳戶中使用 Alexa for Business 有哪些限制?**
沒有限制。Alexa for Business 的完整功能可供 Alexa for Business 自助佈建服務角色使用。
**問:在我的 AMS 帳戶中使用 Alexa for Business 的先決條件或相依性是什麼?**
+ 如果您想要使用 WPA2 Enterprise Wi-Fi 來設定共用裝置,請在裝置設定工具中指定此網路安全類型,其中 AWS 私有憑證授權單位 需要 。
+ AMS 只會建立以命名空間 "A4B" 開頭的私密金鑰。這僅限於此命名空間。
**問:什麼 Alexa for Business 功能需要單獨的 RFCs?**
若要向 Alexa for Business 註冊 Alexa Voice Service (AVS) 裝置,請提供 Alexa 內建裝置製造商的存取權。若要這樣做,需要在 Alexa for Business 主控台中建立 IAM 角色,該角色可以使用 Management \$1 Other \$1 Other 變更類型進行部署。這可讓 AVS 裝置製造商代表您向 Alexa for Business 註冊和管理裝置。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon WorkSpaces 應用程式
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon WorkSpaces 應用程式 (WorkSpaces 應用程式) 功能。WorkSpaces 應用程式可讓您將桌面應用程式移至 AWS,而無需重寫。您可以在 WorkSpaces 應用程式上安裝應用程式、設定啟動組態,以及將應用程式提供給使用者。WorkSpaces 應用程式提供各種虛擬機器選項,讓您可以選取最符合您應用程式需求的執行個體類型,並設定自動擴展參數,以便輕鬆滿足最終使用者的需求。WorkSpaces 應用程式可讓您在自己的網路中啟動應用程式,這表示您的應用程式可以與您現有的 AWS 資源互動。
Amazon WorkSpaces 應用程式可讓您使用映像建置器快速輕鬆地安裝、測試和更新應用程式。支援在 Microsoft Windows Server 2012 R2、Windows Server 2016 或 Windows Server 2019 上執行的任何應用程式,您不需要進行任何修改。測試完成後,您可以設定應用程式啟動組態、預設使用者設定,並發佈映像以供使用者存取。
若要進一步了解,請參閱 [WorkSpaces 應用程式](https://aws.amazon.com/appstream2/)。
## AWS Managed Services 中的 WorkSpaces 應用程式常見問答集
**問:如何請求存取 AMS 帳戶中的 WorkSpaces 應用程式?**
透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-3qe6io8t6jtny) 變更類型提交 RFC,請求存取 WorkSpaces 應用程式。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_appstream_console_role`。
`customer_appstream_stream_role` 也會部署 ,以串流要求使用者使用其 Active Directory 登入憑證進行身分驗證的應用程式。
在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 WorkSpaces 應用程式有哪些限制?**
+ 下列功能必須由 AMS 支援團隊設定,且需要特定的 RFCs。有關請求其他功能的說明,請參閱第 4 節。
+ 從介面 VPC 端點建立和串流。
+ 支援 Amazon S3 端點,用於私有網路上的主資料夾和應用程式設定持續性。
+ 建立並選擇可在所有機群串流執行個體上使用的 IAM 角色。
+ 加入 WorkSpaces 應用程式機群和映像建置器 Microsoft Active Directory 網域。
+ 建立 WorkSpaces 應用程式自訂用量報告。
+ 目前不支援自訂品牌。
**問:在我的 AMS 帳戶中使用 WorkSpaces 應用程式的先決條件或相依性是什麼?**
提交 RFC 以加入 WorkSpaces 應用程式時,請包含要用於 WorkSpaces 應用程式用量報告的 Amazon S3 儲存貯體名稱。儲存貯體名稱會新增至在加入 WorkSpaces 應用程式時`customer-appstream-usagereports-policy`建立的 。
**問:哪些 WorkSpaces 應用程式功能需要單獨的 RFCs?**
+ 若要為 WorkSpaces 應用程式選擇介面 VPC 端點,請提交管理 \$1 其他 \$1 更新變更類型 RFC,以在您的帳戶中建立 VPC 端點。如需為 WorkSpaces 應用程式建立自訂端點的步驟,請參閱 WorkSpaces 應用程式使用者指南中的[從介面 VPC 端點建立和串流](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html)。
+ 透過使用管理 \$1 其他 \$1 其他 \$1 建立變更類型 RFC 請求 Amazon S3 VPC 端點,即可設定對私有網路上主資料夾和應用程式設定持續性的 Amazon S3 端點支援。RFC 必須分別包含託管主資料夾內容的目標 Amazon S3 儲存貯體,或 Amazon S3 儲存貯體的應用程式設定。此 RFC 將為 WorkSpaces 應用程式提供存取 Amazon S3 VPC 端點所需的許可。如需為串流建立自訂端點的步驟,請參閱 WorkSpaces 應用程式使用者指南中的[將 Amazon S3 VPC 端點用於主資料夾和應用程式設定持續性](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-vpce-iam-policy.html)。
+ 若要建立和選擇可在所有機群串流執行個體上使用的 IAM 角色,請提交部署 \$1 進階堆疊元件 \$1 Identity and Access Management (IAM) \$1 建立實體或政策 (受管自動化) 變更類型 (ct-3dpd8mdd9jn1r) RFC,以要求具有必要政策的 IAM 角色。IAM 角色名稱應一律以字首 :"customer\$1appstream" 開頭。
+ Amazon WorkSpaces 應用程式機群和映像建置器可以透過在 Active Directory (AD) 中提交管理 \$1 其他 \$1 更新服務帳戶建立的變更類型 RFC 來加入 Microsoft Active Directory 中的網域。在授予建立和管理 Active Directory 電腦物件的許可的 WorkSpaces 應用程式文件中,定義了加入 Microsoft Active Directory 所需的最低許可。 [https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-admin.html#active-directory-permissions](https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-admin.html#active-directory-permissions)
+ 若要建立自訂 WorkSpaces 應用程式用量報告,請提交管理 \$1 其他 \$1 其他 \$1 建立變更類型 RFC 請求如下:
+ 建立「AppStreamUsageReports」CFN 堆疊
+ 帳戶中佈建「customer\$1appstream\$1usagereports\$1role」
+ 此外,請提供下列詳細資訊:
+ 提供 CRON 表達式來排程爬蟲程式執行。根據預設,每天 23:00 UTC。
+ 用於 Athena 查詢結果的 Amazon S3 儲存貯體 ARN。此儲存貯體應有字首: `aws-athena-query-results`
+ WorkSpaces 應用程式用量報告日誌的 Amazon S3 儲存貯體 ARN。
佈建角色後,將該角色加入您的聯合解決方案並登入,然後存取 AWS GlueAWS Glue 和 Athena 以使用用量報告角色產生自訂報告。如需使用 WorkSpaces 應用程式用量報告的詳細資訊,請參閱 [ WorkSpaces 應用程式文件中的建立自訂報告和分析 WorkSpaces 應用程式用量資料](https://docs.aws.amazon.com/appstream2/latest/developerguide/configure-custom-reports-analyze-usage-data.html)。 WorkSpaces
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Athena
使用 AMS 自助式佈建 (SSP) 模式,直接在您的 AMS 受管帳戶中存取 Amazon Athena (Athena) 功能。Athena 是一種互動式查詢服務,可協助您使用標準 SQL 分析 Amazon S3 中的資料。Athena 無伺服器,所以不需管理基礎設施,而且您只需支付所執行查詢的費用。您可以指向 Amazon S3 中的資料、定義結構描述,並使用標準 SQL 開始查詢。大多數結果會在幾秒鐘內交付。使用 Athena,您不需要複雜的 extract-transform-load (ETL) 任務來準備資料以供分析。這可讓具備 SQL 技能的任何人直接分析大規模資料集。若要進一步了解,請參閱 [Amazon Athena](https://aws.amazon.com/athena/)。
## 常見問答集:AMS 中的 Athena
**問:如何請求存取 AMS 帳戶中的 Amazon Athena?**
透過使用 Management \$1 AWS service \$1 Self-visioned Service \$1 Add (ct-1w8z66n899dct) 變更類型提交 RFC 來請求存取 Athena。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_athena_console_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon Athena 有哪些限制?**
沒有限制。Amazon Athena 的完整功能可在您的 AMS 帳戶中使用。
**問:在我的 AMS 帳戶中使用 Amazon Athena 的先決條件或相依性是什麼?**
Athena 使用以 建立的資料目錄/中繼存放區,因此對 AWS Glue 服務具有主要相依性 AWS Glue。因此, AWS Glue 許可會包含在成功的 Athena RFC 中。
角色`customer_athena_console_role`具有 Amazon S3 儲存貯體的先決條件。若要建立新的儲存貯體,請使用自動化 CT `ct-1a68ck03fn98r`(部署 \$1 進階堆疊元件 \$1 S3 儲存 \$1 建立)。當您使用此自動化 CT 為 Athena 建立 S3 儲存貯體時,儲存貯體名稱必須以字首 開頭`athena-query-results-*`。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Bedrock
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon Bedrock 功能。Amazon Bedrock 是一項全受管服務,可讓領先業界的 AI 新創公司提供高效能的基礎模型 (FMs),並透過統一的 API AWS 供您使用。您可以從各種基礎模型中做選擇,找出最適合您使用案例的模型。Amazon Bedrock 還提供了一系列廣泛的功能,以建置具有安全性、隱私性和負責任之 AI 的生成式 AI 應用程式。使用 Amazon Bedrock 時,您可以輕鬆地為您的使用案例進行試驗,並評估最佳基礎模型,利用微調和檢索增強生成 (RAG) 等技術私下自訂資料,以及建置使用企業系統和資料來源執行任務的代理程式。
藉助 Amazon Bedrock 的無伺服器體驗,您可以快速入門,使用您自己的資料私下自訂基礎模型,並使用 AWS 工具輕鬆安全地整合和部署到您的應用程式中,而無需管理任何基礎設施。如需詳細資訊,請參閱 [Amazon Bedrock](https://aws.amazon.com/bedrock/)。
## 常見問答集:AMS 中的 Amazon Bedrock
**問:如何請求存取 AMS 帳戶中的 Amazon Bedrock?**
若要請求存取 Amazon Bedrock,請使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型提交 RFC。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_bedrock_console_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon Bedrock 有哪些限制?**
+ 預設不支援 Amazon Bedrock 知識庫做為 SSPS 角色的一部分,因為其相依於 AMS 上目前不支援的 Amazon OpenSearch Service Serverless。
+ 由於 Bedrock Studio 依賴於 Amazon DataZone 等不支援的服務,因此不支援 Bedrock Studio。
**問:在我的 AMS 帳戶中使用 Amazon Bedrock 的先決條件或相依性是什麼?**
+ 需要 AWS Marketplace 許可的第三方模型訂閱必須由預設角色完成 (`AWSManagedServicesAdminRole`在 MALZ 上和在 SALZ `Customer_ReadOnly_Role`上)。這是因為預設角色包含 AWS Marketplace 許可。
+ 如果使用資料加密,則您必須在請求建立主控台角色時提供 AWS KMS 金鑰 ARN。此外,使用中的 Amazon S3 儲存貯體名稱中必須有「bedrock」。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon CloudSearch
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon CloudSearch 功能。Amazon CloudSearch 是 AWS 雲端中的受管服務,可讓您以經濟實惠的方式設定、管理和擴展網站或應用程式的搜尋解決方案。Amazon CloudSearch 支援 34 種語言和熱門搜尋功能,例如反白、自動完成和地理空間搜尋。若要進一步了解,請參閱 [Amazon CloudSearch](https://aws.amazon.com/cloudsearch/)。
**注意**
AWS 自 2024 年 7 月 25 日起, 已關閉新客戶對 Amazon CloudSearch 的存取權。Amazon CloudSearch 現有客戶可以繼續正常使用服務。 AWS 會繼續投資 Amazon CloudSearch 的安全性、可用性和效能改善,但我們不打算推出新功能。
若要了解 Amazon CloudSearch 和 Amazon OpenSearch Service 之間的差異,以及轉換至 OpenSearch Service 的方式,請聯絡您的雲端架構師 (CA) 以取得指引。如需轉換至 OpenSearch Service 的詳細資訊,請參閱[從 Amazon CloudSearch 轉換至 Amazon OpenSearch Service 服務](https://aws.amazon.com/blogs/big-data/transition-from-amazon-cloudsearch-to-amazon-opensearch-service/)。
## AWS Managed Services 常見問答集中的 Amazon CloudSearch
**問:如何請求存取 AMS 帳戶中的 Amazon CloudSearch?**
透過使用 Management \$1 AWS service \$1 Self-visioned Service \$1 Add (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 Amazon CloudSearch。此 RFC 會將下列 IAM 角色佈建至您的帳戶: `customer_csearch_admin_role`和 `customer_csearch_dev_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon CloudSearch 有哪些限制?**
Amazon CloudSearch 的完整功能可在您的 AMS 帳戶中使用。Amazon CloudSearch 目前支援所有 AMS 支援的資料庫解決方案。請注意,DynamoDB 目前是唯一無法編製索引的受管 AWS 資料庫解決方案。
**問:在我的 AMS 帳戶中使用 Amazon CloudSearch 的先決條件或相依性是什麼?**
Amazon CloudSearch 依賴 Amazon S3 與身分提供者合作,以自動分析輸入資料並判斷資料表欄位。此 RFC 不提供對 Amazon S3 的存取,且必須在服務請求中另外請求。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon CloudWatch Synthetics
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon CloudWatch Synthetics 功能。您可以使用 Amazon CloudWatch Synthetics 建立 'canary' 來監控您的端點和 APIs。
Canary 是可設定的指令碼,以 Node.js 或 Python 撰寫,按排程執行。Canary 會使用 Node.js 或 Python 作為架構,在您的帳戶中建立 Lambda 函數。Canary 透過 HTTP 和 HTTPS 通訊協定運作。Canary 會檢查端點的可用性和延遲,並可儲存載入時間資料和 UI 螢幕擷取畫面。它們會監控您的 REST API、URL 和網站內容,並且可以檢查來自網路釣魚、程式碼插入和跨網站指令碼的未經授權變更。
Canary 遵循與客戶相同的路由並執行相同的動作,讓您可以持續驗證客戶體驗,即使您的應用程式上沒有任何客戶流量。透過使用 Canary,您可以在客戶之前發現問題。若要進一步了解,請參閱 [ Amazon CloudWatch:使用合成監控](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)。
## AWS Managed Services 中的 Amazon CloudWatch Synthetics 常見問答集
**問:如何請求存取 AMS 帳戶中的 Amazon CloudWatch Synthetics?**
透過使用 Management \$1 AWS service \$1 Self-visioned Service \$1 Add (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 Amazon CloudWatch Synthetics。此 RFC 會將下列 IAM 角色佈建至您的帳戶:'customer\$1cw\$1synthetics\$1console\$1role' 和 'customer\$1cw\$1synthetics\$1canary\$1lambda\$1role'。在帳戶中佈建後,您必須在聯合解決方案中加入 'customer\$1cw\$1synthetics\$1console\$1role' 角色。
**問:在我的 AMS 帳戶中使用 Amazon CloudWatch Synthetics 有哪些限制?**
在您的 AMS 帳戶中使用 Amazon CloudWatch Synthetics 沒有限制。禁止為 AMS 提供服務角色 'customer\$1cw\$1synthetics\$1canary\$1lambda\$1role' 以外的 Canary 建立角色。
**問:在我的 AMS 帳戶中使用 Amazon CloudWatch Synthetics 有哪些先決條件或相依性?**
Canary 建立並使用預設的 Amazon CloudWatch Synthetics S3 儲存貯體:"cw-syn-results-*\$1\$1accountnumber\$1*-*\$1\$1default-region\$1*"
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Cognito 使用者集區
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon Cognito 使用者集區功能。Amazon Cognito 使用者集區提供安全的使用者目錄,可擴展到數億使用者。Amazon Cognito 使用者集區是全受管服務,無需擔心伺服器基礎設施。此服務可讓您管理最終使用者的集區,可用來與內部應用程式整合。此服務為您提供自訂資料庫或 Web 或行動應用程式最終使用者目錄的替代方案。同時,Amazon Cognito 使用者集區提供目錄服務的完整功能,例如密碼政策、多重要素驗證、密碼復原和自我註冊服務。它還允許應用程式聯合其他熱門公有服務的存取,例如 OpenID、Facebook、Amazon 或 Google。
Amazon Cognito 分為兩個主要產品。Amazon Cognito 使用者集區和 Amazon Cognito 身分提供者。本節著重於 Amazon Cognito 使用者集區,提供 Amazon S3 或 DynamoDB 等 AWS 其他服務的存取權。此服務可讓您使用 Amazon Cognito 使用者集區或第三方身分提供者來提供 AWS 服務的存取權。它也提供使用匿名訪客存取 AWS 的服務存取權。由於 Amazon Cognito 使用者集區的強大性質,它將以操作手動服務的形式case-by-case手動管理,以避免潛在的安全中斷到帳戶中。若要進一步了解,請參閱 [Amazon Cognito 使用者集區](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html)。
## AWS Managed Services 常見問答集中的 Amazon Cognito 使用者集區
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 Amazon Cognito 使用者集區?**
在 AMS 中實作 Amazon Cognito 使用者集區是 2 個步驟:
1. 提交管理 \$1 其他 \$1 其他 \$1 建立 (ct-1e1xtak34nx76) 變更類型,並請求在您的 AMS 帳戶中建立 Amazon Cognito 使用者集區。加入下列資訊:
+ AWS 區域。
+ Cognito 使用者集區的名稱。
+ 如果您想要使用 Amazon Simple Email Service (Amazon SES) 來傳送訊息和通知,而不是預設的內部 Cognito 郵件服務,則客戶應在帳戶中為 Amazon SES Service 提供已驗證的電子郵件地址。此地址將用於訊息的「寄件人」和「REPLY-TO」欄位。他們還必須指出啟用 Amazon SES 的區域 (us-east-1、eu-west-1 或 us-west-2)。
+ 如果您想要使用簡訊進行一次性密碼和驗證,則客戶應該指出這一點。
1. 透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 來請求使用者存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶: `customer_cognito_admin_role`和 `customer_cognito_importjob_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。這些角色可讓您管理 Amazon Cognito 使用者集區、管理集區中的使用者和群組、為使用者建立 importjobs、修改通知和訂閱訊息、將應用程式與使用者集區建立關聯、將聯合服務自我管理新增至集區,以及刪除已建立的集區。
**問:在我的 AMS 帳戶中使用 Amazon Cognito 使用者集區有哪些限制?**
您將無法建立 Amazon Cognito 使用者集區。該動作需要建立 IAM 角色,才能利用 Amazon Cognito 使用的服務,例如 Amazon SES 和 Amazon Simple Notification Service (Amazon SNS)。
**問:在我的 AMS 帳戶中使用 Amazon Cognito 使用者集區的先決條件或相依性是什麼?**
如果您想要使用 Amazon SES 透過電子郵件將訊息和通知傳送到使用者集區,他們應該已在帳戶中啟用 Amazon SES 服務,並已驗證應該在已傳送電子郵件的「FROM」和「REPLY-TO」欄位中使用的電子郵件地址。如需使用 Amazon SES 驗證電子郵件地址的詳細資訊,請參閱[在 Amazon SES 中驗證電子郵件地址](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/verify-email-addresses.html)。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Comprehend
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon Comprehend 功能。Amazon Comprehend 是一種自然語言處理 (NLP) 服務,使用機器學習在文字中尋找洞見和關係,不需要機器學習體驗。Amazon Comprehend 使用機器學習來協助您探索非結構化資料中的洞見和關係。服務可識別文字的語言;擷取關鍵片語、位置、人物、品牌或事件;了解文字的正面或負面程度;使用字符化和部分語音分析文字;並自動依主題組織文字檔案的集合。您也可以在 Amazon Comprehend 中使用 AutoML 功能,來建置一組自訂的實體或文字分類模型,這些模型專為您的組織需求量身打造。若要進一步了解,請參閱 [Amazon Comprehend](https://aws.amazon.com/comprehend/)。
## AWS Managed Services 常見問答集中的 Amazon Comprehend
**問:如何請求存取 AMS 帳戶中的 Amazon Comprehend?**
您可以透過提交兩個 AMS Service RFCs 來請求 Amazon Comprehend 主控台和資料存取角色:
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_comprehend_console_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon Comprehend 有哪些限制?**
透過 Amazon Comprehend 主控台建立新的 IAM 角色功能受到限制。否則,Amazon Comprehend 的完整功能可在您的 AMS 帳戶中使用。
**問:在我的 AMS 帳戶中使用 Amazon Comprehend 的先決條件或相依性是什麼?**
如果 Amazon S3 儲存貯體使用 AWS KMS 金鑰加密,則需要 Amazon S3 和 AWS Key Management Service (AWS KMS) 才能使用 Amazon Comprehend。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Connect
**注意**
經審慎考量後,我們決定終止對 Amazon Connect Voice ID 的支援,自 2026 年 5 月 20 日起生效。自 2025 年 5 月 20 日起,Amazon Connect Voice ID 將不再接受新客戶。現有客戶若是在 2025 年 5 月 20 日之前使用帳戶註冊服務,則可繼續使用 Amazon Connect Voice ID 功能。2026 年 5 月 20 日之後,您將無法再使用 Amazon Connect Voice ID。
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon Connect 功能。Amazon Connect 是全通道雲端聯絡中心,可協助公司以較低的成本提供卓越的客戶服務。Amazon Connect 可為客戶和客服人員提供順暢的語音和聊天體驗。這包括一組用於技能型路由的工具、功能強大的即時和歷史分析,以及easy-to-use管理工具 - 全部都具有pay-as-you-go定價。
您可以在 AMS 多帳戶登陸區域或單一帳戶登陸區域帳戶中建立一或多個虛擬聯絡中心執行個體。您可以使用現有的 SAML 2.0 身分提供者進行代理程式存取,或使用 Amazon Connect 原生支援進行使用者生命週期管理。
此外,您可以從 Amazon Connect 主控台為每個 Amazon Connect 執行個體申請免付費電話/直撥電話號碼。您可以使用easy-to-use圖形使用者介面,建立豐富的聯絡流程,以實現所需的客戶體驗和轉接。聯絡流程可以利用 AWS Lambda 函數與內部部署資料存放區和 API 整合。您也可以使用 Kinesis Streams 和 Firehose 啟用資料串流。
通話錄音、聊天文字記錄和報告存放在使用 AWS KMS 金鑰加密的 Amazon S3 儲存貯體中。聯絡流程日誌可以儲存到 CloudWatch 日誌群組。
若要進一步了解,請參閱 [Amazon Connect](https://aws.amazon.com/connect/)。
## AWS Managed Services 常見問答集中的 Amazon Connect
**問:如何請求存取 AMS 帳戶中的 Amazon Connect?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶: `customer_connect_console_role`和 `customer_connect_user_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon Connect 有哪些限制?**
沒有限制。Amazon Connect 的完整功能可在您的 AMS 帳戶中使用。
**問:在我的 AMS 帳戶中使用 Amazon Connect 的先決條件或相依性是什麼?**
+ 您必須使用標準 AMS RFCs 建立 AWS KMS 金鑰和 Amazon S3 儲存貯體;儲存通話錄音和聊天文字記錄時需要 Amazon S3 儲存貯體。
+ 如果您想要與 Active Directory (AD) 整合,AMS 託管的 Amazon Connect 執行個體與內部部署目錄服務之間的整合需要 AD Connector。AD Connector 可以在您的帳戶中透過請求 'Management \$1 Other \$1 Other' RFC 來設定。
+ 您可以根據您的聯絡流程需求,啟用下列選用的自行佈建服務。
+ **AWS Lambda**:您可以使用 Lambda 函數來擴展聯絡流程,以利用現有的內部部署資料存放區或 APIs。您可以使用 Lambda 自行佈建服務來建立 Lambda 函數。
+ **Amazon Kinesis Data Streams**:您可以建立資料串流,以啟用資料串流至外部應用程式。您可以串流聯絡追蹤記錄或客服人員事件。
+ **Amazon Kinesis Data Firehose**:您可以建立 Data Firehose,將大量聯絡追蹤記錄串流至外部應用程式。
+ **Amazon Lex**:您可以利用 Amazon Lex Chatbots,利用 Amazon Alexa 服務建立智慧聯絡流程,以獲得豐富的客戶體驗和自動化。
+ **問:如何請求新增撥出或撥入通話的國家/地區清單?**
若要新增撥出或撥入通話的國家/地區清單,請向 AMS 提交服務請求。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Data Firehose
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon Data Firehose 功能。Firehose 是可靠地將串流資料載入資料湖、資料存放區和分析工具的最簡單方法。它可以擷取、轉換串流資料,並將資料載入 Amazon S3、Amazon Redshift、Amazon OpenSearch Service 和 [Splunk](https://aws.amazon.com/kinesis/data-firehose/splunk/),以便使用您目前已使用的現有商業智慧工具和儀表板進行近乎即時的分析。這是一種全受管服務,可自動擴展以符合資料的輸送量,而且不需要持續管理。它也可以在載入資料之前批次處理、壓縮、轉換和加密資料,將目的地使用的儲存量降至最低,並提高安全性。若要進一步了解,請參閱[什麼是 Amazon Data Firehose?](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)
## AWS Managed Services 常見問答集中的 Firehose
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 Amazon Data Firehose?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_kinesis_firehose_user_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Firehose 有哪些限制?**
沒有限制。Amazon Data Firehose 的完整功能可在您的 AMS 帳戶中使用。
**問:在我的 AMS 帳戶中使用 Firehose 的先決條件或相依性是什麼?**
必須為每個交付串流請求新的服務連結 IAM 角色。您也可以使用所需的資源許可 (包括 S3 儲存貯體/KMS 金鑰/Lambda 函數/Kinesis 串流) 更新角色政策,為所有串流重複使用單一服務連結角色。
在您提交 RFC 以新增 Firehose 之後,AMS Operations 工程師將透過服務請求與您聯絡,以取得您想要與 Data Firehose 連線的資源 ARNs (例如 AWS KMS S3、Lambda 和 Kinesis Streams)。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon DevOps Guru
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon DevOps Guru 功能。Amazon DevOps Guru 是一項全受管操作服務,可讓開發人員和操作員輕鬆改善其應用程式的效能和可用性。DevOps Guru 可讓您卸載與識別操作問題相關聯的管理任務,以便快速實作建議以改善應用程式。DevOps Guru 會建立反應式洞見,您現在可以用來改善您的應用程式。它也會建立主動洞見,協助您避免未來可能影響應用程式的營運問題。DevOps Guru 會套用機器學習來分析您的操作資料和應用程式指標和事件,以識別偏離正常操作模式的行為。當 DevOps Guru 偵測到操作問題或風險時,您會收到通知。對於每個問題,DevOps Guru 都會提供智慧型建議,以解決目前和預測的未來營運問題。
若要進一步了解,請參閱[什麼是 Amazon DevOps Guru](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html)。
## AWS Managed Services 中的 Amazon DevOps Guru 常見問答集
**問:如何請求存取 AMS 帳戶中的 Amazon DevOps Guru?**
若要請求存取,請提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_devopsguru_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon DevOps Guru 有哪些限制?**
沒有限制。Amazon DevOps Guru 的完整功能可在您的 AMS 帳戶中使用。
**問:在我的 AMS 帳戶中使用 Amazon DevOps Guru 的先決條件或相依性是什麼?**
沒有先決條件。DevOps Guru 會利用下列 AWS 服務:Amazon CloudWatch Logs、RDS Insights AWS X-Ray AWS Lambda和 AWS CloudTrail。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon DocumentDB (與 MongoDB 相容)
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon DocumentDB (與 MongoDB 相容) 功能。Amazon DocumentDB (與 MongoDB 相容) 是一種快速、可擴展、高可用性且全受管的文件資料庫服務,可支援 MongoDB 工作負載。Amazon DocumentDB 為您提供大規模操作關鍵任務 MongoDB 工作負載時所需的效能、可擴展性和可用性。Amazon DocumentDB 透過模擬 MongoDB 用戶端從 MongoDB 伺服器預期的回應,實作 Apache 2.0 開放原始碼 MongoDB 3.6 API,讓您將現有的 MongoDB 驅動程式和工具與 Amazon DocumentDB 搭配使用。在 Amazon DocumentDB 中,儲存和運算會分離,允許每個 獨立擴展,而且無論您的資料大小為何,您都可以新增最多 15 個低延遲僅供讀取複本,將讀取容量增加到每秒數百萬個請求。Amazon DocumentDB 旨在提供 99.99% 的可用性,並跨三個 AWS 可用區域 (AZs) 複寫資料的六個副本。您可以使用 AWS Database Migration Service (DMS) 免費 (六個月) 將內部部署或 Amazon Elastic Compute Cloud (Amazon EC2) MongoDB 資料庫遷移至 Amazon DocumentDB,幾乎沒有停機時間。若要進一步了解,請參閱 [Amazon DocumentDB (與 MongoDB 相容)](https://aws.amazon.com/documentdb/)。
## AWS Managed Services 常見問答集中的 Amazon DocumentDB
**問:如何請求存取 AMS 帳戶中的 Amazon DocumentDB?**
您可以透過提交兩個 AMS RFCs 來請求 Amazon DocumentDB 主控台和資料存取角色:主控台存取和資料存取:
透過使用 Management \$1 AWS 服務 \$1 自行佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 Amazon DocumentDB。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_documentdb_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon DocumentDB 有哪些限制?**
Amazon DocumentDB 需要 Amazon RDS 特定的許可。由於 AMS 完全管理 Amazon RDS,Amazon DocumentDB 的 IAM 角色包含 Amazon RDS 上動作的一些限制。適用以下限制:
+ 對 `DeleteDBInstance`和 `DeleteDBCluster` APIs存取已受到限制。若要使用這些刪除 APIs,請提交 RFC 與 管理 \$1 進階堆疊元件 \$1 Identity and Access Management (IAM) \$1 更新實體或政策 (受管自動化) 變更類型 (ct-27tuth19k52b4)。
+ 您無法從 Amazon RDS 執行個體新增或移除標籤。
+ 您無法將 Amazon DocumentDB 執行個體設為公有。
**問:在我的 AMS 帳戶中使用 Amazon DocumentDB 的先決條件或相依性是什麼?**
如果 Amazon S3 儲存貯體使用 AWS KMS 金鑰加密, AWS KMS 則需要 Amazon S3 和 才能使用 Amazon DocumentDB。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon DynamoDB
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon DynamoDB (DynamoDB) 功能。Amazon DynamoDB 是金鑰值和文件資料庫,可在任何規模提供單一位數毫秒的效能。它是一個全受管、多區域、多活動資料庫,具有內建安全性、備份和還原,以及適用於網際網路擴展應用程式的記憶體內快取。如需詳細資訊,請參閱 [Amazon DynamoDB](https://aws.amazon.com/dynamodb/)。
Amazon DynamoDB Accelerator (DAX) 是全部寫入快取服務,設計目的是要簡化將快取新增至 DynamoDB 資料表的程序。DAX 適用於需要高效能讀取的應用程式。
## AWS Managed Services 常見問答集中的 DynamoDB
**問:如何在我的 AMS 帳戶中請求存取 DynamoDB 和 DAX?**
透過使用 Management \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 DynamoDB 和 DAX。此 RFC 會將下列 IAM 角色和政策佈建至您的帳戶:
+ DynamoDB 角色名稱: `customer_dynamodb_role`
DAX 服務角色名稱: `customer_dax_service_role`
+ DynamoDB 政策名稱: `customer_dynamodb_policy`
DAX 服務政策: `customer_dax_service_policy`
在帳戶中佈建後,您必須在聯合解決方案`customer_dynamodb_role`中加入 。
**問:在我的 AMS 帳戶中使用 DynamoDB 有哪些限制?**
支援所有 DynamoDB 功能,包括 DynamoDB Accelerator (DAX)。
為任何指定資料表建立警示時,警示名稱必須以「客戶\$1」字首;例如 `customer-employee-table-high-put-latency`。
為 DynamoDB 建立 Amazon SNS 主題時,必須命名為:`dynamodb`。
若要刪除 DynamoDB 建立的 Amazon SNS 主題,請提交管理 \$1 其他 \$1 其他 \$1 更新變更類型 RFC。
**問:在我的 AMS 帳戶中使用 DynamoDB 的先決條件或相依性是什麼?**
在您的 AMS 帳戶中使用 DynamoDB 沒有先決條件或相依性。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Elastic Container Registry
使用 AMS 自助式佈建 (SSP) 模式,直接在您的 AMS 受管帳戶中存取 Amazon Elastic Container Registry (Amazon ECR) 功能。Amazon Elastic Container Registry 是全受管的 [Docker](https://aws.amazon.com/docker/) 容器登錄檔,可讓開發人員輕鬆儲存、管理和部署 Docker 容器映像。Amazon ECR 與 [Amazon Elastic Container Service (Amazon ECS)](https://aws.amazon.com/ecs/) 整合,可簡化生產工作流程的開發。Amazon ECR 無需操作您自己的容器儲存庫,也無需擔心擴展基礎基礎設施。Amazon ECS 會將您的映像託管在高可用性和可擴展的架構中,讓您可以可靠地部署應用程式的容器。與 AWS Identity and Access Management (IAM) 整合可提供每個儲存庫的資源層級控制。使用 Amazon ECR,無需預付費用或承諾。您只需為存放在儲存庫中的資料量和傳輸至網際網路的資料付費。
若要進一步了解,請參閱 [Amazon Elastic Container Registry](https://aws.amazon.com/ecr/)。
## AWS Managed Services 常見問答集中的 Amazon Elastic Container Registry
**問:如何請求存取 AMS 帳戶中的 Amazon ECR?**
透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 Amazon ECR。此 RFC 會將下列 IAM 角色佈建至您的帳戶: ` customer_ecr_console_role`和 `customer_ecr_poweruser_instance_profile_policy`分別`customer_ecr_poweruser_instance_profile`搭配相關聯的 IAM 政策 `customer_ecr_console_policy`和 。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon ECR 有哪些限制?**
AMS 命名空間有在您的 AMS 帳戶中使用 Amazon ECR 的限制。容器映像的字首不得為 "AMS-" 或 "Sentinel-"。
**問:在我的 AMS 帳戶中使用 Amazon ECR 的先決條件或相依性是什麼?**
在您的 AMS 帳戶中使用 Amazon ECR 沒有先決條件或相依性。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 EC2 Image Builder
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 EC2 Image Builder 功能。EC2 Image Builder 是一項全受管 AWS 服務,可讓您更輕鬆地自動化建立、管理和部署自訂、安全且up-to-date「黃金」伺服器映像,這些映像已預先安裝並預先設定軟體和設定,以符合特定 IT 標準。
您可以使用 AWS 管理主控台、 AWS CLI 或 APIs 在 AWS 帳戶中建立自訂映像。當您使用 時 AWS 管理主控台,Amazon EC2 Image Builder 精靈會引導您完成以下步驟:
+ 提供起始成品
+ 新增和移除軟體
+ 自訂設定和指令碼
+ 執行選取的測試
+ 將映像分發至 AWS 區域
您建置的映像會在您的帳戶中建立,並且可以持續針對作業系統修補程式進行設定。若要進一步了解,請參閱 [EC2 Image Builder](https://aws.amazon.com/image-builder/)。
## AWS Managed Services 常見問答集中的 EC2 Image Builder
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 EC2 Image Builder?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。透過此 RFC,會在您的帳戶中佈建下列 IAM 角色:` customer_ec2_imagebuilder_role`。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問:EC2 Image Builder 有哪些限制?**
AMS 不支援使用基礎設施組態的服務預設值。您可以建立新的基礎設施組態或使用現有的基礎設施組態。
AMS 目前不支援建立容器配方。
**問:啟用 EC2 Image Builder 的先決條件或相依性有哪些?**
+ EC2 Image Builder 服務連結角色:您不需要手動建立服務連結角色。當您在 AWS 管理主控台、 CLI 或 AWS API AWS 中建立第一個 Image Builder 資源時,Image Builder 會為您建立服務連結角色。
+ 用於使用 Image Builder 建置映像和執行測試的執行個體必須能夠存取 Systems Manager 服務。如果來源映像尚未存在,則 SSM 代理程式會安裝在來源映像上,並在建立映像之前將其移除。
+ AWS IAM:與執行個體描述檔建立關聯的 IAM 角色必須具有許可,才能執行映像中包含的建置和測試元件。下列 IAM 角色政策必須連接到與執行個體描述檔相關聯的 IAM 角色: `EC2InstanceProfileForImageBuilder`和 `AmazonSSMManagedInstanceCore`。IAM 角色名稱應該包含 `*imagebuilder*`關鍵字。
+ 如果您設定記錄,基礎設施組態中指定的執行個體描述檔必須具有目標儲存貯體 () 的`s3:PutObject`許可`arn:aws:s3:::{bucket-name}/*`。例如:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::{bucket-name}/*"
}
]
}
```
------
+ 建立名為「imagebuilder」的 SNS 主題,以接收來自 EC2 Image Builder 的任何提醒和通知。
# 使用 AMS SSP 在 AMS 帳戶中的 AWS Fargate 上佈建 Amazon ECS
使用 AMS 自助式佈建 (SSP) 模式直接在 AMS 受管帳戶中存取 Amazon ECS on AWS Fargate 功能。 AWS Fargate 是一項技術,您可以搭配 Amazon ECS 使用來執行容器 (請參閱 [上的容器 AWS](https://aws.amazon.com/what-are-containers)),而無需管理 Amazon EC2 執行個體的伺服器或叢集。使用 AWS Fargate,您不再需要佈建、設定或擴展虛擬機器叢集來執行容器。這樣一來即無須選擇伺服器類型、決定何時擴展叢集,或最佳化叢集壓縮。
若要進一步了解,請參閱 [上的 Amazon ECS AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/AWS_Fargate.html)。
## AWS Managed Services 常見問答集中的 Fargate 上的 Amazon ECS
**問:如何在 AMS 帳戶中請求存取 Fargate 上的 Amazon ECS?**
透過使用 Management \$1 AWS service \$1 Self-visioned service \$1 Add (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 Fargate 上的 Amazon ECS。此 RFC 會將下列 IAM 角色佈建至您的帳戶: `customer_ecs_fargate_console_role`(如果沒有提供現有 IAM 角色將 ECS 政策與 建立關聯)`customer_ecs_fargate_events_service_role`、、`customer_ecs_task_execution_service_role`、 `customer_ecs_codedeploy_service_role`和 `AWSServiceRoleForApplicationAutoScaling_ECSService`。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Fargate 上的 Amazon ECS 有哪些限制?**
+ Amazon ECS 任務監控和記錄會被視為您的責任,因為容器層級活動發生在 Hypervisor 上方,而記錄功能受到 Fargate 上的 Amazon ECS 限制。身為 Fargate 上的 Amazon ECS 使用者,我們建議您採取必要步驟來啟用 Amazon ECS 任務的記錄。如需詳細資訊,請參閱[為您的容器啟用 awslogs 日誌驅動程式](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#enable_awslogs)。
+ 容器層級的安全和惡意軟體保護也被視為您的責任。Fargate 上的 Amazon ECS 不包含 Trend Micro 或預先設定的網路安全元件。
+ 此服務適用於多帳戶登陸區域和單一帳戶登陸區域 AMS 帳戶。
+ 根據預設,自我佈建角色中的 Amazon ECS [Service Discovery](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html) 會受到限制,因為建立 Route 53 私有託管區域需要更高的許可。若要在服務上啟用服務探索,請提交管理 \$1 其他 \$1 其他 \$1 更新變更類型。若要提供為 Amazon ECS Service 啟用服務探索所需的資訊,請參閱[服務探索手冊](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html)。
+ AMS 目前不會管理或限制用於在 Amazon ECS Fargate 上部署至容器的映像。您將能夠從 Amazon ECR、Docker Hub 或任何其他私有映像儲存庫部署映像。因此,我們建議不要部署公有或任何不安全的影像,因為它們可能會在帳戶上產生惡意活動。
**問:在我的 AMS 帳戶中在 Fargate 上使用 Amazon ECS 的先決條件或相依性是什麼?**
+ 以下是 Fargate 上 Amazon ECS 的相依性;不過,使用自行佈建的角色啟用這些服務不需要其他動作:
+ CloudWatch 日誌
+ CloudWatch 活動
+ CloudWatch 警示
+ CodeDeploy
+ App Mesh
+ 雲端地圖
+ Route 53
+ 根據您的使用案例,以下是 Amazon ECS 所依賴的資源,在帳戶中使用 Fargate 上的 Amazon ECS 之前可能需要的資源:
+ 要與 Amazon ECS 服務搭配使用的安全群組。您可以使用部署 \$1 進階堆疊元件 \$1 安全群組 \$1 建立 (自動) (ct-3pc215bnwb6p7),或者,如果您的安全群組需要特殊規則,請使用部署 \$1 進階堆疊元件 \$1 安全群組 \$1 建立 (受管自動化) (ct-1oxx2g2d7hc90)。注意:您使用 Amazon ECS 選取的安全群組必須專門為 Amazon ECS 服務或叢集所在的 Amazon ECS 建立。您可以在 ****[Amazon Elastic Container Service 中的設定 Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/get-set-up-for-amazon-ecs.html) 和安全性一節中進一步了解。 [https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security.html](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security.html)
+ 應用程式負載平衡器 (ALB)、網路負載平衡器 (NLB)、傳統負載平衡器 (ELB),用於任務之間的負載平衡。
+ ALBs 的目標群組。
+ 要與您的 Amazon ECS 叢集整合的應用程式網格資源 (例如 Virtual Router、Virtual Services、Virtual Nodes)。
+ 目前,在標準 AMS 變更類型之外建立時,AMS 無法自動降低與支援安全群組許可相關的風險。我們建議您請求特定安全群組以搭配 Fargate 叢集使用,以限制使用未指定用於 Amazon ECS 的安全群組的可能性。
# 使用 AMS SSP AWS Fargate 在 AMS 帳戶中佈建 Amazon EKS
使用 AMS 自助式佈建 (SSP) 模式直接在您的 AMS 受管帳戶中存取 Amazon EKS on AWS Fargate 功能。 AWS Fargate 是一種技術,可為容器提供隨需、大小正確的運算容量 (若要了解容器,請參閱[什麼是容器?](https://aws.amazon.com/what-are-containers))。使用 AWS Fargate,您不再需要佈建、設定或擴展虛擬機器群組來執行容器。這樣一來即無須選擇伺服器類型、決定何時擴展節點群組,或最佳化叢集壓縮。
Amazon Elastic Kubernetes Service (Amazon EKS) AWS Fargate 使用 Kubernetes 提供的 AWS 上游可擴展模型建置的控制器來整合 Kubernetes 與 。這些控制器作為 Amazon EKS 受管 Kubernetes 控制平面的一部分執行,並負責將原生 Kubernetes Pod 排程到 Fargate。Fargate 控制器包括新的排程器,除了數個變換與驗證許可控制器之外,也會隨著預設 Kubernetes 排程器執行。當您啟動符合在 Fargate 上執行之條件的 Pod 時,在叢集中執行的 Fargate 控制器便會辨識、更新及將 Pod 排程至 Fargate。
若要進一步了解,請參閱 [Amazon EKS on AWS Fargate Now Generally Available](https://aws.amazon.com/blogs/aws/amazon-eks-on-aws-fargate-now-generally-available/) 和 [Amazon EKS 安全最佳實務指南](https://aws.github.io/aws-eks-best-practices/security/docs/) (包括「建議」,例如「檢閱和撤銷不必要的匿名存取」等)。
**提示**
AMS 具有變更類型:部署 \$1 進階堆疊元件 \$1 身分和存取管理 (IAM) \$1 建立 OpenID Connect 提供者 (ct-30ecvfi3tq4k3),可與 Amazon EKS 搭配使用。如需範例,請參閱 [ Identity and Access Management (IAM) \$1 Create OpenID Connect Provider](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-openid-connect-provider.html)。
## AWS Managed Services 常見問答集 AWS Fargate 中的 Amazon EKS
**問:如何在我的 AMS 帳戶中請求存取 Fargate 上的 Amazon EKS?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶。
+ `customer_eks_fargate_console_role`.
在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
+ 這些服務角色授予 Amazon EKS on Fargate 代表您呼叫其他 AWS 服務的許可:
+ `customer_eks_pod_execution_role`
+ `customer_eks_cluster_service_role`
**問:在我的 AMS 帳戶中在 Fargate 上使用 Amazon EKS 有哪些限制?**
+ AMS 不支援建立[受管](https://docs.aws.amazon.com/eks/latest/userguide/managed-node-groups.html)或[自我管理](https://docs.aws.amazon.com/eks/latest/userguide/worker.html)的 EC2 節點群組。如果您需要使用 EC2 工作者節點,請聯絡您的 AMS Cloud Service Delivery Manager (CSDM) 或 Cloud Architect (CA)。
+ AMS 不包含 Trend Micro 或預先設定的容器映像網路安全元件。您需要管理自己的映像掃描服務,以在部署之前偵測惡意容器映像。
+ 由於 CloudFormation 相互依存性,不支援 EKSCTL。
+ 在叢集建立期間,您有停用叢集控制平面記錄的許可。如需詳細資訊,請參閱 [Amazon EKS 控制平面記錄](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html)。我們建議您在建立叢集時啟用所有重要的 API、身分驗證和稽核記錄。
+ 在叢集建立期間,Amazon EKS 叢集的叢集端點存取預設為公有;如需詳細資訊,請參閱 [Amazon EKS 叢集端點存取控制](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html)。建議您將 Amazon EKS 端點設定為私有。如果公有存取需要端點,則最佳實務是僅針對特定 CIDR 範圍將其設定為公有。
+ AMS 沒有強制和限制用於部署至 Amazon EKS Fargate 容器之映像的方法。您可以從 Amazon ECR、Docker Hub 或任何其他私有映像儲存庫部署映像。因此,部署可能在該帳戶上執行惡意活動的公有映像會有風險。
+ AMS 不支援透過雲端開發套件 (CDK) 或 CloudFormation Ingest 部署 EKS 叢集。
+ 您必須使用 [ct-3pc215bnwb6p7 部署 \$1 進階堆疊元件 \$1 安全群組 \$1 在資訊清單檔案中建立](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-security-group-create.html)和參考,以建立輸入。這是因為角色`customer-eks-alb-ingress-controller-role`未獲授權建立安全群組。
**問:在我的 AMS 帳戶中在 Fargate 上使用 Amazon EKS 的先決條件或相依性是什麼?**
若要使用 服務,必須設定下列相依性:
+ 如需驗證服務,必須安裝 KUBECTL 和 aws-iam-authenticator;如需詳細資訊,請參閱[管理叢集身分驗證](https://docs.aws.amazon.com/eks/latest/userguide/managing-auth.html)。
+ Kubernetes 倚賴稱為「服務帳戶」的概念。為了在 EKS 上利用 kubernetes 叢集內的服務帳戶功能,必須使用下列輸入進行管理 \$1 其他 \$1 更新 RFC:
+ 【必要】 Amazon EKS 叢集名稱
+ 【必要】 將部署服務帳戶 (SA) 的 Amazon EKS 叢集命名空間。
+ 【必要】 Amazon EKS 叢集 SA 名稱。
+ 【必要】 要關聯的 IAM 政策名稱和許可/文件。
+ 【必要】 正在請求的 IAM 角色名稱。
+ 【選用】 OpenID Connect 提供者 URL。如需詳細資訊,請參閱
+ [ 在叢集上啟用服務帳戶的 IAM 角色](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html)
+ [ 為服務帳戶介紹精細的 IAM 角色](https://aws.amazon.com/blogs/opensource/introducing-fine-grained-iam-roles-service-accounts/)
+ 我們建議設定和監控 Config 規則
+ 公有叢集端點
+ 停用 API 記錄
您有責任監控和修復這些 Config 規則。
如果您想要部署 [ALB 傳入控制器](https://docs.aws.amazon.com/eks/latest/userguide/alb-ingress.html),請提交管理 \$1 其他 \$1 其他更新 RFC,以佈建要與 ALB 傳入控制器 Pod 搭配使用的必要 IAM 角色。建立要與 ALB 傳入控制器建立關聯的 IAM 資源 (請在 RFC 中包含這些資源) 需要下列輸入:
+ 【必要】 Amazon EKS 叢集名稱
+ 【選用】 OpenID Connect 提供者 URL
+ 【選用】 Amazon EKS 叢集命名空間,其中將部署應用程式負載平衡器 (ALB) 輸入控制器服務。【預設:kube-system】
+ 【選用】 Amazon EKS 叢集服務帳戶 (SA) 名稱。【預設:aws-load-balancer-controller】
如果您想要在叢集中啟用信封秘密加密 (我們建議),請在 RFC 的描述欄位中提供您要使用的 KMS 金鑰 IDs,以新增服務 (管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct)。若要進一步了解信封加密,請參閱 [ Amazon EKS 使用 AWS KMS 新增秘密的信封加密](https://aws.amazon.com/about-aws/whats-new/2020/03/amazon-eks-adds-envelope-encryption-for-secrets-with-aws-kms/)。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon EMR
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon EMR 功能。Amazon EMR 是領先業界的雲端大數據平台,可使用 Apache Spark、Apache Hive、Apache HBase、Apache Flink、Apache Hudi 和 Presto 等開放原始碼工具來處理大量資料。使用 Amazon EMR,您可以用低於傳統內部部署解決方案成本的一半,以及比標準 Apache Spark 快 3 倍的速度執行 PB 級分析。對於短期執行的任務,您可以向上和向下旋轉叢集,並為使用的執行個體每秒付費。對於長時間執行的工作負載,您可以建立高度可用的叢集,以自動擴展以滿足需求。
您可以在 AMS 多帳戶登陸區域或單一帳戶登陸區域帳戶中建立一或多個 Amazon EMR 叢集執行個體,以支援暫時性和持久性 Amazon EMR 叢集。您也可以啟用 Kerberos 身分驗證,以啟用來自內部部署 Active Directory 網域的身分驗證使用者。
您可以使用 Amazon EMR 叢集來利用多個資料存放區,以支援使用案例特定的 Hadoop 工具和程式庫。您可以使用 OnDemand 或 Spot 執行個體建立 Amazon EMR 叢集,並設定自動擴展以管理容量並降低成本。
叢集日誌檔案可以封存至 Amazon S3 儲存貯體以進行記錄和偵錯。您也可以存取 Amazon EMR 叢集中託管的 Web 介面,以支援雜湊管理要求或為客戶記錄書籍體驗。
若要進一步了解,請參閱 [Amazon EMR](https://aws.amazon.com/emr/)。
## AWS Managed Services 常見問答集中的 Amazon EMR
**問:如何請求存取 AMS 帳戶中的 Amazon EMR?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:
+ `customer_emr_cluster_instance_profile`
+ `customer_emr_cluster_autoscaling_role`
+ `customer_emr_console_role`
+ `customer_emr_cluster_service_role`
在帳戶中佈建後,您必須在聯合解決方案中加入 customer\$1emr\$1console\$1role。
**問:在我的 AMS 帳戶中使用 Amazon EMR 有哪些限制?**
從 AWS 主控台在 EC2 叢集上建立 Amazon EMR 時,我們建議您使用**建立叢集 – 進階**選項。Amazon EMR 叢集必須透過新增索引鍵為**「for-use-with-amazon-emr-managed-policies」**且值為**「true」**的標籤來建立。在**安全**選項中選取下列組態:
+ 選取叢集的自訂角色:
+ EMR 角色:Customer\$1emr\$1cluster\$1service\$1role
+ EC2 執行個體設定檔:Customer\$1emr\$1cluster\$1instance\$1profile
+ Auto Scaling 角色:Customer\$1emr\$1cluster\$1autoscaling\$1role
+ EC2 安全群組:
+ 主伺服器:ams-emr-master-security-group
+ 核心與任務:ams-emr-worker-security-group
+ 服務存取:ams-emr-serviceaccess-security-group
**問:在我的 AMS 帳戶中使用 Amazon EMR 的先決條件或相依性是什麼?**
AMS 會為 Amazon EMR 主節點、工作者節點和服務節點建立預設安全群組。
要與 Amazon EMR 叢集搭配使用的啟動範本和安全群組必須具有值為 "true" 的標籤金鑰 **"for-use-with-amazon-emr-managed-policies**"。 ****
預設 Amazon EMR 叢集執行個體描述檔可讓您存取 資源,例如 s3 儲存貯體和 dynamodb 資料表,其名稱包含 "emr"。您可以請求其他 IAM 政策,以使用與 Amazon EMR 搭配使用的任何其他資源。下列資源 ARN 可與使用 **customer\$1emr\$1cluster\$1instance\$1profile** 的 Amazon EMR 任務搭配使用:
+ arn:aws:dynamodb:\$1:\$1:table/\$1emr\$1
+ arn:aws:kinesis:\$1:\$1:stream/\$1emr\$1
+ arn:aws:sns:\$1:\$1:\$1emr\$1arn:aws:sqs:\$1:\$1:\$1emr\$1
+ arn:aws:sqs:\$1:\$1:\$1emr\$1
+ arn:aws:sqs:\$1:\$1:AWS-ElasticMapReduce-\$1
+ arn:aws:sdb:\$1:\$1:domain:\$1emr\$1
+ arn:aws:s3::\$1emr\$1
如果 Amazon EMR 叢集需要 kerberos 身分驗證:
+ 提供要用於每個角化 Amazon EMR 叢集的領域名稱和內部部署 Active Directory IP 地址。
+ 基礎設施需求:
**多帳戶登陸區域 (MALZ)**:提交 RFC 以在現有應用程式帳戶中建立新的受管應用程式帳戶或新的 VPC。
**單一帳戶登陸區域 (SALZ)**:提交 RFC 以在 VPC 中建立新的子網路。
+ 在內部部署 Active Directory 上設定叢集領域傳入的信任。
+ 在 Managed AD 中提交 RFC 來設定領域 DNS 區域。
+ 領域組態:
**MALZ**:提交管理 \$1 其他 \$1 其他 \$1 更新 (ct-0xdawir96cy7k) RFC 以更新 VPC DHCP 選項集,以使用網域名稱尾碼的領域名稱。
**SALZ**:提交管理 \$1 其他 \$1 其他 \$1 更新 (ct-0xdawir96cy7k) RFC,以產生新的 Amazon EMR AMI,以使用網域名稱尾碼的特定領域。
若要部署 Amazon EMR Studio,角色`customer_emr_cluster_service_role`具有 Amazon Simple Storage Service 儲存貯體的先決條件。若要建立儲存貯體,請使用自動化 CT `ct-1a68ck03fn98r`(部署 \$1 進階堆疊元件 \$1 S3 儲存 \$1 建立)。當您使用此自動化 CT 為 Amazon EMR 建立 Amazon S3 儲存貯體時,儲存貯體名稱必須以字首 開頭`customer-emr-*`。此外,您必須在與 Amazon EMR 叢集相同的 AWS 區域中建立儲存貯體。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon EventBridge
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon EventBridge 功能。Amazon EventBridge 為無伺服器事件匯流排服務,可讓您輕鬆將應用程式與來自各種來源的資料互相連線。EventBridge 可從您自己的應用程式、Software-as-a-Service(SaaS) 應用程式 AWS 和服務提供即時資料串流,並將該資料路由至 等目標 AWS Lambda。您可設定路由規則來決定要將資料送往何處,以便建立即時對您所有資料來源做出反應的應用程式架構。EventBridge 可讓您建置鬆耦合和分散式的事件驅動架構。
若要進一步了解,請參閱 [Amazon EventBridge](https://aws.amazon.com/eventbridge/)。
## AWS Managed Services 常見問答集中的 EventBridge
**問:如何請求存取 AMS 帳戶中的 EventBridge?**
透過使用 Management \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 EventBridge。此 RFC 會將下列 IAM 角色佈建至您的帳戶: `customer_eventbridge_role`和 `customer_eventbridge_scheduler_execution_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
執行角色,`customer_eventbridge_scheduler_execution_role`是 EventBridge 排程器擔任代表您與其他 互動的 IAM 角色 AWS 服務 。連接到此角色的許可政策會授予 EventBridge 排程器調用目標的存取權。
**注意**
根據預設,EventBridge 排程器會使用 EventBridge 的 AWS 擁有金鑰來加密資料。若要使用 EventBridge 的客戶受管金鑰來加密資料,請使用 Management \$1 AWS 服務 \$1 自助佈建服務 \$1 [新增 (受管自動化)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-aws-self-provisioned-service-add-review-required.html) 變更類型 (ct-3qe6io8t6jtny) 提交 RFC 以進行服務佈建。
**問:在我的 AMS 帳戶中使用 EventBridge 有哪些限制?**
您必須提交 AMS RFCs 並建立下列資源:觸發批次任務的服務角色、SQS 佇列、CodeBuild、CodePipeline 和 SSM 命令。
**問:在我的 AMS 帳戶中使用 EventBridge 的先決條件或相依性是什麼?**
您必須使用 部署 \$1 EventBridge 進階堆疊元件 \$1 Identity and Access Management (IAM) \$1 建立實體或政策 (受管自動化) 變更類型 (ct-3dpd8mdd9jn1r) 請求具有 RFC 的 EventBridge 服務角色,才能使用 EventBridge 觸發其他 AWS 資源,例如 Lambda AWS Batch、Amazon SNS、Amazon SQS 或 Amazon CloudWatch Logs 資源。指定請求您的服務角色時要叫用的服務。若要了解叫用目標所需的許可,請參閱[使用 EventBridge 的資源型政策](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html)。
EventBridge 已與 整合 AWS CloudTrail,此服務提供由使用者、角色或 EventBridge AWS 服務 中 所採取動作的記錄。CloudTrail 必須啟用並允許 將日誌檔案存放到 S3 儲存貯體。注意:所有 AMS 帳戶都已啟用 CloudTrail,因此不需要採取任何動作。
**問:角色 customer\$1eventbridge\$1scheduler\$1execution\$1role 具有 AWS Key Management Service 金鑰的先決條件 (選用,如果用於加密)。如何在靜態/傳輸資料加密中採用 AWS KMS CMKs? **
根據預設,EventBridge 排程器會加密儲存在 AWS 擁有金鑰 (靜態加密) 下的事件中繼資料和訊息資料。EventBridge 排程器也會使用 Transport Layer Security (TLS) (傳輸中加密) 加密 EventBridge 排程器與其他 服務之間傳遞的資料。
如果您的特定使用案例要求您控制和稽核可在 EventBridge 排程器上保護資料的加密金鑰,您可以使用客戶受管金鑰。
在使用 Amazon EventBridge 加入 AWS KMS 許可之前,您必須使用 管理 \$1 AWS 服務 \$1 自我佈建服務 \$1 新增 (受管自動化) 變更類型來請求 RFC。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Forecast
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon Forecast (預測) 功能。Amazon Forecast 是一種全受管服務,使用機器學習來提供高度準確的預測。
**注意**
AWS 自 2024 年 7 月 29 日起, 已關閉新客戶對 Amazon Forecast 的存取權。Amazon Forecast 現有客戶可以繼續照常使用服務。 AWS 會繼續投資 Amazon Forecast 的安全性、可用性和效能改善,但不 AWS 打算推出新功能。
如果您想要使用 Amazon Forecast,請聯絡您的 CSDM,以便他們可以進一步引導您如何[將 Amazon Forecast 用量轉移至 Amazon SageMaker Canvas](https://aws.amazon.com/blogs/machine-learning/transition-your-amazon-forecast-usage-to-amazon-sagemaker-canvas/)。
根據 Amazon.com 使用的相同技術,Forecast 使用機器學習來結合時間序列資料和其他變數來建置預測。預測不需要機器學習經驗即可開始。您只需要提供歷史資料,以及您認為可能會影響預測的任何其他資料。例如,對襯衫特定顏色的需求可能會隨季節和存放位置而改變。這種複雜的關係很難自行判斷,但機器學習非常適合識別它。提供資料後,Forecast 會自動檢查資料、識別有意義的內容,並產生預測模型,能夠進行比僅查看時間序列資料高出 50% 的預測。
若要進一步了解,請參閱 [Amazon Forecast](https://aws.amazon.com/forecast/)。
## AWS Managed Services 常見問答集中的 Amazon Forecast
**問:如何請求存取 AMS 帳戶中的預測?**
透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC AWS Firewall Manager 來請求存取 。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_forecast_admin_role`。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用預測有哪些限制?**
預設 S3 儲存貯體存取僅允許您存取命名模式為 'customer-forecast-\$1' 的儲存貯體。如果您有自己的資料儲存貯體命名慣例,請與您的 Cloud Architect (CA) 討論儲存貯體命名和相關存取設定。例如:
+ 您可以使用 'AmazonForecast-ExecutionRole-\$1' 等命名和相關聯的適當 S3 儲存貯體存取來定義特定 AmazonForecast 服務角色。請參閱 IAM 主控台中的服務角色 - AmazonForecast-ExecutionRole-Admin 和 IAM 政策 - customer\$1forecast\$1default\$1s3\$1access\$1policy。
+ 您可能需要將相關的 S3 儲存貯體存取與 IAM 聯合角色建立關聯。請參閱 IAM 主控台中的 IAM 政策 - customer\$1forecast\$1default\$1s3\$1access\$1policy。
**問:在我的 AMS 帳戶中使用 Forecast 有哪些先決條件或相依性?**
+ 使用 Forecast 之前,必須先建立適當的 Amazon S3 儲存貯體 (Amazon S3)。特別是,預設 S3 儲存貯體存取是使用命名模式「customer-forecast-\$1」
+ 如果您想要在 'customer-forecast-\$1' 以外的 S3 儲存貯體上使用命名模式,則必須在儲存貯體上建立具有 S3 存取許可的新服務角色:
1. 要使用命名 'AmazonForecast-ExecutionRole-\$1suffix\$1' 建立新的服務角色。
1. 要建立的新 IAM 政策類似於 customer\$1forecast\$1default\$1s3\$1access\$1policy,並與新服務角色和相關聯合管理角色相關聯 (例如 'customer\$1forecast\$1admin\$1role')
**問:如何使用 Amazon Forecast 增強資料安全性?**
+ 對於靜態資料加密,您可以使用 AWS KMS 來佈建客戶管理的 CMK,以保護 Amazon S3 服務上的資料儲存:
+ 使用佈建金鑰在儲存貯體上啟用預設加密,並設定儲存貯體政策以接受 AWS KMS 資料加密,同時放置資料。
+ 以 AWS KMS 金鑰使用者身分啟用 Amazon Forecast 服務角色 'AmazonForecast-ExecutionRole-\$1' 和聯合管理角色 (例如 'customer\$1forecast\$1admin\$1role')。
+ 對於傳輸中的資料加密,您可以設定 HTTPS 通訊協定,這是在 Amazon S3 儲存貯體政策上傳輸物件時的必要通訊協定。
+ 存取控制的進一步限制,為 Amazon Forecast 服務角色 'AmazonForecast-ExecutionRole-\$1' 和管理員角色 (例如 'customer\$1forecast\$1admin\$1role') 的已核准存取權啟用儲存貯體政策。
**問:使用 Amazon Forecast 時的最佳實務為何?**
+ 您應該充分了解資料分類實務,並在搭配 Amazon Forecast 使用 S3 儲存貯體時,找出相關的資料安全需求。
+ 對於 Amazon S3 儲存貯體組態,強烈建議您在 S3 儲存貯體政策中啟用 HTTPS 強制執行。
+ 您必須知道 Amazon S3 儲存貯體上的管理員角色 'customer\$1forecast\$1admin\$1role' 支援許可存取 (Get/Delete/Put S3 物件),其命名為 'customer-forecast-\$1'。 Amazon S3 注意:如果您需要多個團隊的精細存取控制,請遵循下列實務:
+ 定義以團隊為基礎的存取 IAM 身分 (角色/使用者),具有對相關 Amazon S3 儲存貯體的最低權限存取權。
+ 建立以團隊/專案為基礎的 AWS KMS CMKs會授予對對應 IAM 身分的適當存取權。(使用者存取權和 'AmazonForecast-ExecutionRole-\$1team/project\$1'。
+ 使用已建立 AWS KMS CMKs 設定 S3 儲存貯體預設加密。
+ 在 S3 儲存貯體政策上使用 HTTPS 通訊協定強制執行 S3 API 流量。
+ 強制執行 S3 儲存貯體組態,以針對相關 IAM 身分 (使用者存取和儲存貯體的 'AmazonForecast-ExecutionRole-\$1team/project\$1'。
+ 如果您想要將 'customer\$1forecast\$1admin\$1role' 用於一般用途,請考慮先前列出的點以保護 S3 儲存貯體。
**問:Amazon Forecast 的合規資訊在哪裡?**
請參閱 [AWS 服務合規計劃](https://aws.amazon.com/compliance/services-in-scope/)。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon FSx
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon FSx 功能。Amazon FSx 提供全受管第三方檔案系統。Amazon FSx 為您提供第三方檔案系統的原生相容性,其功能集適用於 Windows 型儲存、高效能運算 (HPC)、機器學習和電子設計自動化 (EDA) 等工作負載。Amazon FSx 會自動執行耗時的管理任務,例如硬體佈建、軟體組態、修補和備份。Amazon FSx 將檔案系統與雲端原生 AWS 服務整合,因此對更廣泛的工作負載更加有用。
Amazon FSx 為您提供兩種檔案系統供您選擇:適用於 Windows 應用程式的 Amazon FSx for Windows File Server 和適用於運算密集型工作負載的 Amazon FSx for Lustre。若要進一步了解,請參閱 [Amazon FSx](https://aws.amazon.com/fsx/)。
## AWS Managed Services 常見問答集中的 Amazon FSx
**問:如何請求存取 AMS 帳戶中的 Amazon FSx?**
透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 Amazon FSx。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_fsx_admin_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon FSx 有哪些限制?**
沒有限制。服務的完整功能可供使用。
**問:在我的 AMS 帳戶中使用 Amazon FSx 的先決條件或相依性是什麼?**
沒有先決條件。不過,對於多可用區等進階組態,您必須安裝和管理 DFS 複寫和 DFS 命名空間服務。如需詳細資訊,請參閱[部署多可用區域檔案系統](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/multi-az-deployments.html)。
**問:如何將 Amazon FSx 檔案系統與多帳戶登陸區域 Managed AD 整合?**
建立 Amazon FSx 檔案系統時,您可以將 MALZ Managed AD 指定為 'AWS Managed Microsoft Active Directory' for Windows Authentication。如需詳細資訊,請參閱[搭配 AWS Directory Service for Microsoft Active Directory 使用 Amazon FSx ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/fsx-aws-managed-ad.html)
您也必須先將 Managed AD 分享給應用程式帳戶。透過使用 Management \$1 Directory Service \$1 Directory \$1 Share Directory 變更類型 (ct-369odosk0pd9w) 提交 RFC 來執行此操作。
**問:哪些使用者屬於 **AWS 委派 FSx 管理員**群組?**
只有 IT 檔案伺服器管理員。此群組具有所有檔案共享的完整**存取權限**。
**問:我應該使用佈建 FSx 系統時建立的預設檔案共享、**共享**嗎?**
否,我們不建議使用佈建的預設檔案共享、**共享**。它將**完整存取權**授予**每個人**,這違反最低權限原則。反之,請建立符合您業務需求的較小自訂檔案共享。
**問:如何為業務中的特定組織建立自訂檔案共享?**
如需建立自訂[檔案共享](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/managing-file-shares.html)的說明,請參閱檔案共享。使用最低權限原則限制每個檔案共享的存取。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon FSx for OpenZFS
使用 AMS 自助式佈建 (SSP) 模式直接在您的 AMS 受管帳戶中存取 Amazon FSx for OpenZFS 功能。FSx for OpenZFS 是一種全受管檔案儲存服務,可讓您輕鬆地將內部部署 ZFS 或其他 Linux 型檔案伺服器中的資料移至 AWS,而無需變更應用程式程式碼或管理資料的方式。它提供以開放原始碼 OpenZFS 檔案系統建置的高度可靠、可擴展性、高效能和功能豐富的檔案儲存,提供 OpenZFS 檔案系統的熟悉功能和功能,以及全受管 AWS 服務的敏捷性、可擴展性和簡易性。對於建置雲端原生應用程式的開發人員,它提供簡單、高效能的儲存體,具有處理資料的豐富功能。
FSx for OpenZFS 檔案系統可使用業界標準的 NFS 通訊協定 (v3、v4.0、v4.1、v4.2),從 Linux、Windows 和 macOS 運算執行個體和容器廣泛存取。FSx for OpenZFS 採用 AWS Graviton 處理器和最新的 AWS 磁碟和聯網技術 (包括 AWS 可擴展可靠資料包聯網和 AWS Nitro 系統),可提供高達 100 萬個 IOPS,延遲數百微秒。透過對即時point-in-time快照和資料複製等 OpenZFS 功能的完整支援,FSx for OpenZFS 可讓您輕鬆地將現場部署檔案伺服器取代為提供熟悉檔案系統功能的 AWS 儲存體,並消除執行冗長資格和變更或重新建構現有應用程式或工具的需求。此外,FSx for OpenZFS 結合了 OpenZFS 資料管理功能的強大功能與最新 AWS 技術的高效能和成本效益,可讓您建置和執行高效能的資料密集型應用程式。
做為全受管服務,FSx for OpenZFS 可讓您在 上輕鬆啟動、執行和擴展全受管檔案系統 AWS ,以取代您在內部部署中執行的檔案伺服器,同時協助提供更好的敏捷性和降低成本。使用 FSx for OpenZFS,您不再需要擔心設定和佈建檔案伺服器和儲存磁碟區、複寫資料、安裝和修補檔案伺服器軟體、偵測和解決硬體故障,以及手動執行備份。它還提供與其他 AWS 服務的豐富整合,例如 AWS Identity and Access Management (IAM)、 AWS Key Management Service (AWS KMS)、Amazon CloudWatch 和 AWS CloudTrail。
Amazon FSx 為您提供兩種檔案系統供您選擇:適用於 Windows 應用程式的 Amazon FSx for Windows File Server 和適用於運算密集型工作負載的 Amazon FSx for Lustre。若要進一步了解,請參閱 [Amazon FSx](https://aws.amazon.com/fsx/)。
## AWS Managed Services 常見問答集中的 Amazon FSx for OpenZFS
**問:如何請求在 AMS 帳戶中使用 FSx for OpenZFS 的存取權?**
透過使用 Management \$1 AWS service \$1 Self-visioned Service \$1 Add (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 Amazon FSx OpenZFS。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_fsx_ontap_admin_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 FSx for OpenZFS 有哪些限制?**
取代 Amazon FSx 彈性網路介面 (ENIs) 上的安全群組需要您提交管理 \$1 其他 \$1 其他 \$1 更新 RFCs因為安全群組是 AMS 環境的關鍵周邊。這是唯一的限制。
**問:在我的 AMS 帳戶中使用 FSx for OpenZFS 的先決條件或相依性是什麼?**
沒有先決條件。不過,您必須[使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon FSx](amz-fsx.md)已安裝 。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon FSx for NetApp ONTAP
使用 AMS 自助式佈建 (SSP) 模式,直接在您的 AMS 受管帳戶中存取 Amazon FSx for NetApp ONTAP 功能。Amazon FSx for NetApp ONTAP 是一項全受管服務,可在 NetApp 的熱門 ONTAP 檔案系統上提供高度可靠、可擴展、高效能且功能豐富的檔案儲存。它提供 NetApp 檔案系統的熟悉功能、效能、功能和 APIs,具有全受管系統的靈活性、可擴展性和簡易性 AWS 服務。
Amazon FSx for NetApp ONTAP 提供功能豐富、快速且靈活的共用檔案儲存,可從 Linux、Windows 和在內部部署中執行 AWS 的 macOS 運算執行個體廣泛存取。FSx for ONTAP 提供低於毫秒延遲的高效能 SSD 儲存體,讓您只要按一下按鈕,即可快速且輕鬆地管理您的資料。它也會自動將資料分層為成本較低的彈性儲存,無需佈建或管理容量,並可讓您為工作負載達到 SSD 效能層級,同時只需為一小部分的資料支付 SSD 儲存費用。它提供高可用性和耐用的儲存,具有全受管備份和支援跨區域災難復原,並支援熱門的資料安全和防毒應用程式,讓您更輕鬆地保護和保護您的資料。對於使用 NetApp ONTAP 內部部署的客戶,FSx for ONTAP 是將檔案型應用程式從內部部署遷移、備份或爆量到 的理想解決方案, AWS 而無需變更應用程式程式碼或管理資料的方式。
Amazon FSx for NetApp ONTAP 是全受管服務,可讓您在雲端輕鬆啟動和擴展可靠、高效能且安全的共用檔案儲存。使用 Amazon FSx for NetApp ONTAP,您不再需要擔心設定和佈建檔案伺服器和儲存磁碟區、複寫資料、安裝和修補檔案伺服器軟體、偵測和解決硬體故障、管理容錯移轉和容錯回復,以及手動執行備份。它也提供與其他 的豐富整合 AWS 服務,例如 AWS Identity and Access Management Amazon WorkSpaces AWS Key Management Service和 AWS CloudTrail。
Amazon FSx 為您提供兩種檔案系統供您選擇:適用於 Windows 應用程式的 Amazon FSx for Windows File Server 和適用於運算密集型工作負載的 Amazon FSx for Lustre。若要進一步了解,請參閱 [Amazon FSx](https://aws.amazon.com/fsx/)。
## AWS Managed Services 常見問答集中的 Amazon FSx for NetApp ONTAP
**問:如何在我的 AMS 帳戶中請求存取 Amazon FSx for NetApp ONTAP?**
透過使用 Management \$1 AWS service \$1 Self-visioned Service \$1 Add (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 Amazon FSx for NetApp ONTAP。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_fsx_ontap_admin_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon FSx for NetApp ONTAP 有哪些限制?**
取代 Amazon FSx for NetApp ONTAP 彈性網路介面 (ENIs) 上的安全群組需要您提交管理 \$1 其他 \$1 其他 \$1 更新 RFCs因為安全群組是 AMS 環境的關鍵周邊。這是唯一的限制。
**問:在我的 AMS 帳戶中使用 Amazon FSx for NetApp ONTAP 的先決條件或相依性是什麼?**
沒有先決條件。不過,您必須[使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon FSx](amz-fsx.md)已安裝 。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Inspector Classic
**注意**
支援結束通知:2026 年 5 月 20 日, AWS 將結束對 Amazon Inspector Classic 的支援。2026 年 5 月 20 日之後,您將無法再存取 Amazon Inspector Classic 主控台或 Amazon Inspector Classic 資源。Amazon Inspector Classic 將不再提供給新帳戶,以及過去六個月內尚未完成評估的帳戶。對於所有其他帳戶,存取將持續有效至 2026 年 5 月 20 日,之後您將無法再存取 Amazon Inspector Classic 主控台或 Amazon Inspector Classic 資源。如需詳細資訊,請參閱 [Amazon Inspector Classic 終止支援](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html)。
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon Inspector Classic 功能。Amazon Inspector Classic 是一種自動化安全評估服務,可協助改善部署在 上的應用程式的安全性和合規性 AWS。Amazon Inspector Classic 會自動評估應用程式是否有暴露、漏洞和與最佳實務的偏差。執行評估後,Amazon Inspector Classic 會產生依嚴重性層級排定優先順序的安全調查結果詳細清單。這些調查結果可以直接檢閱,也可以作為詳細評估報告的一部分,這些報告可透過 Amazon Inspector Classic 主控台或 API 取得。若要進一步了解,請參閱 [Amazon Inspector Classic](https://docs.aws.amazon.com/inspector/v1/userguide/inspector_introduction.html)。
## AWS Managed Services 常見問答集中的 Amazon Inspector
**問:如何在我的 AMS 帳戶中請求存取 Amazon Inspector Classic?**
透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 Amazon Inspector Classic。此 RFC 會將 `customer_inspector_admin_role` IAM 角色佈建至您的帳戶。此角色包含受 AWS管 AmazonInspectorFullAccess 政策。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon Inspector Classic 有哪些限制?**
沒有限制。Amazon Inspector Classic 的完整功能可在您的 AMS 帳戶中使用。
**問:在我的 AMS 帳戶中使用 Amazon Inspector Classic 的先決條件或相依性是什麼?**
在您的 AMS 帳戶中使用 Amazon Inspector Classic 沒有先決條件或相依性。
## 在 AMS 中使用新的 Amazon Inspector
您現在可以在 AMS 帳戶中使用新的 Amazon Inspector。
對於 Amazon Inspector Classic,`AmazonInspectorFullAccess`需要 `customer-inspector-admin-role-ssm-inspector-agent-policy`和 。不過,SSPS 角色 已更新`customer-inspector-admin-role`,現在包含額外的 `policyAmazonInspector2FullAccess`。此新政策允許新版本 Amazon Inspector 的 API 許可。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Kendra
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon Kendra 功能。Amazon Kendra 是一種智慧型搜尋服務,使用自然語言處理和進階機器學習演算法傳回從資料搜尋問題的特定答案。與傳統的關鍵字式搜尋不同,Amazon Kendra 會使用其語意和內容理解功能來判斷文件是否與搜尋查詢相關。Amazon Kendra 會傳回問題的特定答案,因此您的體驗即將與人類專家互動。Amazon Kendra 具有高度可擴展性,能夠滿足效能需求,與 Amazon S3 和 Amazon Lex 等 AWS 其他服務緊密整合,並提供企業級安全性。若要進一步了解,請參閱 [Amazon Kendra;](https://docs.aws.amazon.com/kendra/latest/dg/what-is-kendra.html)。
## AWS Managed Services 常見問答集中的 Amazon Kendra
**問:如何請求存取 AMS 帳戶中的 Amazon Kendra?**
若要請求存取 Amazon Inspector Classic,請使用 Management \$1 AWS service \$1 Self-visioned Service \$1 Add (ct-3qe6io8t6jtny) 變更類型提交 RFC。此 RFC 會將 `customer_kendra_console_role` IAM 角色佈建至您的帳戶。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon Kendra 有哪些限制?**
沒有限制。Amazon Kendra 的完整功能可在您的 AMS 帳戶中使用。
**問:在我的 AMS 帳戶中使用 Amazon Kendra 的先決條件或相依性是什麼?**
Amazon Kendra 入門沒有先決條件或相依性。不過,根據您的特定使用案例,您可能需要存取其他 AWS 服務。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Kinesis Data Streams
使用 AMS 自助式佈建 (SSP) 模式,直接在您的 AMS 受管帳戶中存取 Amazon Kinesis Data Streams (KDS) 功能。Amazon Kinesis Data Streams 是一種高度可擴展且耐用的即時資料串流服務。KDS 可以持續從數十萬個來源擷取每秒 GB 的資料,例如網站點擊串流、資料庫事件串流、金融交易、社交媒體摘要、IT 日誌和位置追蹤事件。收集的資料以毫秒為單位提供,以啟用即時分析使用案例,例如即時儀表板、即時異常偵測、動態定價等。若要進一步了解,請參閱 [Amazon Kinesis Data Streams](https://aws.amazon.com/kinesis/data-streams/)。
## AWS Managed Services 中的 Kinesis Data Streams 常見問答集
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 Amazon Kinesis Data Streams?**
透過使用 Management \$1 AWS 服務 \$1 自助佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 提交 RFC,請求存取 Amazon Kinesis Data Streams。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_kinesis_data_streaming_user_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon Kinesis Data Streams 有哪些限制?**
沒有限制。Amazon Kinesis Data Streams 的完整功能可在您的 AMS 帳戶中使用。
**問:在我的 AMS 帳戶中使用 Amazon Kinesis Data Streams 的先決條件或相依性是什麼?**
在您的 AMS 帳戶中使用 Amazon Kinesis Data Streams 沒有先決條件或相依性。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Kinesis Video Streams
使用 AMS 自助式佈建 (SSP) 模式,直接在您的 AMS 受管帳戶中存取 Amazon Kinesis Video Streams (KVS) 功能。Amazon Kinesis Video Streams 可協助您安全地將視訊從連線裝置串流到 , AWS 以進行分析、機器學習 (ML)、播放和其他處理。Kinesis Video Streams 會自動佈建並彈性擴展從數百萬個裝置擷取串流影片資料所需的所有基礎設施。它也會長期儲存、加密和索引串流中的影片資料,並可讓您透過easy-to-use存取資料。 APIs Kinesis Video Streams 可讓您播放影片以進行即時和隨需檢視,並透過與 Amazon Rekognition Video 整合,以及適用於 Apache MxNet、TensorFlow 和 OpenCV 等 ML 架構的程式庫,快速建置利用電腦視覺和影片分析的應用程式。若要進一步了解,請參閱 [Amazon Kinesis Video Streams](https://aws.amazon.com/kinesis/video-streams/)。
## AWS Managed Services 中的 Amazon Kinesis Video Streams 常見問答集
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 Amazon Kinesis Video Streams?**
透過使用 Management \$1 AWS 服務 \$1 自助佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 提交 RFC,請求存取 Amazon Kinesis Video Streams。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_kinesis_video_streaming_user_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon Kinesis Video Streams 有哪些限制?**
沒有限制。Amazon Kinesis Video Streams 的完整功能可在您的 AMS 帳戶中使用。
**問:在我的 AMS 帳戶中使用 Amazon Kinesis Video Streams 的先決條件或相依性是什麼?**
在您的 AMS 帳戶中使用 Amazon Kinesis Video Streams 沒有先決條件或相依性。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Lex
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon Lex 功能。Amazon Lex 是一種使用語音和文字在任何應用程式中建置對話界面的服務。Amazon Lex 提供自動語音辨識 (ASR) 的進階深度學習功能,可將語音轉換為文字,以及自然語言理解 (NLU) 來辨識文字的意圖,讓您能夠建置具有高度吸引力使用者體驗和逼真的對話互動的應用程式。透過 Amazon Lex,任何開發人員現在可以使用支援 Amazon Alexa 的相同深度學習技術,讓您快速輕鬆地建置複雜的自然語言、對話式機器人或聊天機器人。若要進一步了解,請參閱 [Amazon Lex](https://aws.amazon.com/lex/)。
## AWS Managed Services 中的 Amazon Lex 常見問答集
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 Amazon Lex?**
透過提交管理 \$1 AWS 服務 \$1 自行佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_lex_author_role`。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon Lex 有哪些限制?**
Amazon Lex 與 Lambda 的整合僅限於沒有「AMS-」字首的 Lambda 函數,以防止對 AMS 基礎設施進行任何修改。
**問:在我的 AMS 帳戶中使用 Amazon Lex 的先決條件或相依性是什麼?**
在您的 AMS 帳戶中使用 Amazon Lex 沒有先決條件或相依性。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon MQ
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon MQ 功能。Amazon MQ 是 Apache ActiveMQ 的受管訊息代理程式服務,可協助您在雲端中設定和操作訊息代理程式。訊息代理程式允許不同的軟體系統,通常使用不同的程式設計語言,並在不同的平台上進行通訊和交換資訊。Amazon MQ 透過管理熱門開放原始碼訊息代理程式 ActiveMQ 的佈建、設定和維護來降低您的操作負載。將您目前的應用程式連線至 Amazon MQ 會使用業界標準 APIs和通訊協定進行傳訊,包括 JMS、NMS、AMQP、STOMP、MQTT 和 WebSocket。使用標準表示在大多數情況下,遷移到 時不需要重寫任何訊息程式碼 AWS。若要進一步了解,請參閱[什麼是 Amazon MQ?](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/welcome.html)
## AWS Managed Services 常見問答集中的 Amazon MQ
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 Amazon MQ?**
在您的 AMS 帳戶中使用 Amazon MQ 是一個兩步驟的程序:
1. 佈建 Amazon MQ 中介裝置。若要這樣做,請透過 RFC 提交包含 Amazon MQ 代理程式的 CFN 範本,並使用 部署 \$1 擷取 \$1 從 CloudFormation 範本堆疊 \$1 建立變更類型 (ct-36cn2avfrrj9v),或使用 管理 \$1 其他 \$1 其他 \$1 建立變更類型 (ct-1e1xtak34nx76) 變更類型,請求在您的帳戶中佈建 Amazon MQ 代理程式。
1. 存取 Amazon MQ 主控台。佈建 Amazon MQ 中介裝置之後,透過使用 Management \$1 AWS service \$1 Self-visioned service \$1 Add change type (ct-1w8z66n899dct) 提交 RFC 來取得 Amazon MQ 主控台的存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_mq_console_role`。
在帳戶中佈建角色之後,您必須在聯合解決方案中加入該角色。
**問:在我的 AMS 帳戶中使用 Amazon MQ 有哪些限制?**
Amazon MQ 的完整功能可在您的 AMS 帳戶中使用;不過,由於所需的許可提高,因此無法透過政策佈建 Amazon MQ 代理程式。如需如何在帳戶中佈建 Amazon MQ 代理程式的詳細資訊,請參閱上述內容。
**問:在我的 AMS 帳戶中使用 Amazon MQ 的先決條件或相依性是什麼?**
在您的 AMS 帳戶中使用 Amazon MQ 沒有先決條件或相依性。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Managed Service for Apache Flink
使用 AMS 自助式服務佈建 (SSP) 模式,直接在您的 AMS 受管帳戶中存取 Amazon Managed Service for Apache Flink 功能。Managed Service for Apache Flink 是分析串流資料、取得可行洞見以及即時回應業務和客戶需求的最簡單方法。Amazon Managed Service for Apache Flink 可降低建置、管理和整合串流應用程式與其他 AWS 服務的複雜性。SQL 使用者可以輕鬆查詢串流資料,或使用 範本和互動式 SQL 編輯器建置整個串流應用程式。Java 開發人員可以使用開放原始碼 Java 程式庫和 AWS 整合快速建置複雜的串流應用程式,以即時轉換和分析資料。Amazon Managed Service for Apache Flink 會處理持續執行即時應用程式所需的一切,並自動擴展以符合傳入資料的磁碟區和輸送量。使用 Amazon Managed Service for Apache Flink,您只需為串流應用程式使用的資源付費。沒有最低費用或設定成本。若要進一步了解,請參閱 [Amazon Managed Service for Apache Flink](https://aws.amazon.com/kinesis/data-analytics/)。
## AWS Managed Services 常見問答集中的 Managed Service for Apache Flink
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 Amazon Managed Service for Apache Flink?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_kinesis_analytics_application_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon Managed Service for Apache Flink 有哪些限制?**
+ 組態僅限於沒有「AMS-」或「MC-」字首的資源,以防止對 AMS 基礎設施進行任何修改。
+ 刪除或建立新的 Kinesis Data Streams 或 Firehose 的許可已從政策中移除。我們有另一個允許此動作的政策。
**問:在我的 AMS 帳戶中使用 Amazon Kinesis Data Streams 的先決條件或相依性是什麼?**
有幾個相依性:
+ Amazon Managed Service for Apache Flink 要求在使用 Managed Service for Apache Flink 設定應用程式之前,必須先建立 Kinesis Data Streams 或 Firehose。
+ 資源型政策許可應指出特定的輸入資料來源。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Managed Streaming for Apache Kafka
使用 AMS 自助式佈建 (SSP) 模式直接在您的 AMS 受管帳戶中存取 Amazon Managed Streaming for Apache Kafka (Amazon MSK) 功能。Amazon Managed Streaming for Apache Kafka 是一種全受管 AWS 串流資料服務,可讓您輕鬆地建置和執行使用 Apache Kafka 處理串流資料的應用程式,而無需成為操作 Apache Kafka 叢集的專家。Amazon MSK 會為您管理 Apache Kafka 叢集和 Apache ZooKeeper 節點的佈建、組態和維護。Amazon MSK 也會在 AWS 主控台中顯示關鍵 Apache Kafka 效能指標。
Amazon MSK 為您的 Apache Kafka 叢集提供多層安全性,包括 VPC 網路隔離、控制平面 API 授權的 AWS IAM、靜態加密、傳輸中的 TLS 加密、TLS 型憑證身分驗證、安全 SASL/SCRAM 身分驗證 AWS Secrets Manager。若要進一步了解,請參閱 [Amazon MSK](https://aws.amazon.com/msk/)。
## AWS Managed Services 常見問答集中的 Amazon MSK
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 Amazon MSK?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 政策和角色佈建至您的帳戶:
+ `customer-msk-admin-policy.json`
+ `AmazonMSKFullAccess`
+ `customer-msk-admin-role.json`
在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問:使用 Amazon MSK 有哪些限制?**
若要讓 Amazon MSK 將代理程式日誌交付至您設定的目的地,請確定`AmazonMSKFullAccess`政策已連接至您的 IAM 角色。因此,完整存取許可已就緒。
**問:使用 Amazon MSK 有哪些先決條件或相依性?**
在建立 MSK 叢集之前,您必須在該 VPC 內擁有 VPC 和子網路。根據預設,AMS 在預設的 [AMS VPC 建立](https://docs.aws.amazon.com/msk/latest/developerguide/msk-create-cluster.html)中會涵蓋此項目。
若要了解 Amazon MSK 的限制,請參閱 [Amazon MSK 限制](https://docs.aws.amazon.com/msk/latest/developerguide/limits.html)。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Managed Service for Prometheus
使用 AMS 自助式服務佈建 (SSP) 模式,直接在您的 AMS 受管帳戶中存取 Amazon Managed Service for Prometheus (AMP) 功能。Amazon Managed Service for Prometheus 是無伺服器、且與 Prometheus 相容的監控服務,適用於容器指標,可讓您更輕鬆地大規模監控容器環境。透過 Amazon Managed Service for Prometheus,您可以使用目前用來監控容器化工作負載效能的相同開放原始碼 Prometheus 資料模型和查詢語言,並享有改良的可擴展性、可用性和安全性,而無需管理基礎設施。
隨著工作負載的擴展和縮減,Amazon Managed Service for Prometheus 會自動擴展操作指標的擷取、儲存和查詢。它與 AWS 安全服務整合,以快速且安全地存取資料。如需詳細資訊,請參閱[什麼是 Amazon Managed Service for Prometheus?](https://docs.aws.amazon.com/prometheus/latest/userguide/what-is-Amazon-Managed-Service-Prometheus.html)
## AWS Managed Services 常見問答集中的 Amazon Managed Service for Prometheus
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 Amazon Managed Service for Prometheus?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer-prometheus-console-role`。在帳戶中佈建之後,您必須在聯合解決方案中加入`customer-prometheus-console-role`角色。
**問:在我的 AMS 帳戶中使用 Amazon Managed Service for Prometheus 有哪些限制?**
支援所有功能。
**問:在我的 AMS 帳戶中使用 Amazon Managed Service for Prometheus 的先決條件或相依性是什麼?**
Amazon Managed Service for Prometheus 沒有先決條件或相依性。不過,根據您的特定使用案例,您可能需要存取其他 AWS 服務。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Personalize
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon Personalize 功能。Amazon Personalize 是一種機器學習服務,可讓開發人員輕鬆地使用其應用程式為客戶建立個人化建議。
透過支援個人化產品和內容建議、量身訂做的搜尋結果和目標行銷促銷,機器學習越來越常用於提高客戶參與度。不過,由於複雜性,開發產生這些複雜建議系統所需的機器學習功能現在已超過大多數組織觸手可及的範圍。Amazon Personalize 可讓沒有先前機器學習經驗的開發人員,使用從 Amazon.com:// 上多年使用的機器學習技術,輕鬆地在其應用程式中建置複雜的個人化功能。
使用 Amazon Personalize,您可以從應用程式提供活動串流 – 按一下、頁面檢視、註冊、購買等 – 以及您想要建議的項目庫存,例如文章、產品、影片或音樂。您也可以選擇向 Amazon Personalize 提供使用者的其他人口統計資訊,例如年齡或地理位置。Amazon Personalize 將處理和檢查資料、識別有意義的內容、選取正確的演算法,以及訓練和最佳化針對您的資料自訂的個人化模型。Amazon Personalize 分析的所有資料都會保持私有和安全,僅用於您的自訂建議。您可以透過簡單的 API 呼叫開始提供個人化建議。您只需支付使用量的費用,而且沒有最低費用,也沒有預付承諾。
若要進一步了解,請參閱 [Amazon Personalize](https://aws.amazon.com/personalize/)。
## AWS Managed Services 中的 Amazon Personalize 常見問答集
**問:如何請求存取 AMS 帳戶中的 Amazon Personalize?**
透過提交管理 \$1 AWS 服務 \$1 自行佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權,而且您需要指定要由 AWS 個人化使用的資料的 S3 儲存貯體來產生建議。此 RFC 會將下列 IAM 角色佈建至您的帳戶: `customer_personalize_console_role`和 `customer_personalize_service_role`。
+ 在帳戶中佈建 `customer_personalize_console_role` 後,您必須在聯合解決方案中加入角色。您也可以將 連接到 以外的`customer_personalize_console_policy`其他現有角色`Customer_ReadOnly_Role`。
+ 將 `customer_personalize_service_role` 提供給您的帳戶後,您可以在建立新的資料集群組時參考其 ARN。
目前,AMS Operations 也會在您的帳戶中部署此服務角色:`aws_code_pipeline_service_role_policy`。
**問:在我的 AMS 帳戶中使用 Amazon Personalize 有哪些限制?**
Amazon Personalize 組態僅限於沒有 'ams-' 或 'mc-' 字首的資源,以防止對 AMS 基礎設施進行任何修改。
**問:在我的 AMS 帳戶中使用 Amazon Personalize 有哪些先決條件或相依性?**
+ 如果存放資料的 S3 儲存貯體已加密,則必須提供 KMS 金鑰 ID,以便我們允許 Amazon Personalize 使用的角色解密儲存貯體。
Amazon Personalize 不支援預設 KMS S3 金鑰。如果需要使用 KMS,請建立自訂金鑰,並透過開啟變更類型 KMS 金鑰 \$1 Create (受管自動化) 的 RFC 來新增下列政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
------
+ 必須使用下列儲存貯體政策建立 S3 儲存貯體。透過提交變更類型為 S3 儲存 \$1 建立政策的 RFC 來執行此操作。此政策允許 Amazon Personalize 存取資料;該儲存貯體將包含 Amazon Personalize 要使用的資料。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Quick
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的快速功能。Quick 是一種快速、雲端驅動的商業智慧服務,可為您組織中的每個人提供洞見。作為全受管服務,Quick 可讓您輕鬆建立和發佈互動式儀表板,其中包含機器學習 (ML) 洞見。若要進一步了解,請參閱 [Amazon Quick](https://aws.amazon.com/quicksight/)。
## AWS Managed Services 常見問答集中的快速
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 Quick?**
透過提交管理 \$1 AWS 服務 \$1 自行佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_quicksight_console_admin_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Quick 有哪些限制?**
+ AWS 由於 IAM 政策相依性,您將無法存取 Quick 上的資源設定。不過,AMS 團隊會為您啟用每個資源,以回應您啟用服務的請求。
+ 此模型不支援個別使用者和群組的資源存取,因為此功能可讓使用者修改可能影響 AMS 基礎設施的 IAM 許可。
+ 由於變更 IAM 物件涉及風險,因此不支援從 QuickSight 中邀請 IAM 身分的功能。
+ 快速服務提供兩種版本:Enterprise 和 Standard。兩者都提供 AMS 上支援的單一登入 (SSO) 選項。不過,Enterprise Edition 可以選擇將 Quick 與 Active Directory (AD) 整合。AMS 上的 Quick 不支援與 AD 整合,因為 AMS 帳戶結構與快速信任要求之間不相容。
**問:在我的 AMS 帳戶中使用 Quick 的先決條件或相依性是什麼?**
+ 當 AMS 收到此 RFC 以新增 Quick 時,系統會傳送服務請求給您以取得其他資訊;請向他們提供下列項目:
+ 快速帳戶名稱 (例如, `CustomerName-quicksight`
+ Quick Edition (Standard 與 Enterprise)
+ 要啟用 Quick 服務 AWS 的區域 (預設為您的 AMS AWS 區域)。
+ Quick 帳戶的通知電子郵件地址。
+ (選用) 要分析的資料檔案所在的 S3 儲存貯體。
+ 連線至 Quick 的 VPC 和子網路 IDs 支援新增 VPC 連線的功能,可啟用快速與帳戶內部資源之間的私有連線。
AMS 運算子會代表您執行註冊程序,並設定兩個 QuickSight 功能:
+ [自動探索](https://docs.aws.amazon.com/quicksight/latest/user/autodiscover-aws-data-sources.html)資料來源。
+ [VPC 連線](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)。
**注意**
這些動作必須由 AMS 運算子執行,因為在登入過程中需要更高的 IAM 和 VPC 許可。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Rekognition
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon Rekognition 功能。Amazon Rekognition 可讓您使用經過驗證、可擴展性高的深度學習技術,輕鬆地將映像和影片分析新增至應用程式,無需機器學習專業知識。透過 Amazon Rekognition,您可以識別影像和影片中的物件、人物、文字、場景和活動,以及偵測任何不適當的內容。Amazon Rekognition 還提供高度準確的臉部分析和臉部搜尋功能,可用於偵測、分析和比較各種使用者驗證、人員計數和公共安全使用案例的臉部。
使用 Amazon Rekognition 自訂標籤,您可以在影像中識別特定於您業務需求的物件和場景。例如,您可以建置模型來分類組裝線上的特定機器組件,或偵測運作狀態不佳的植物。Amazon Rekognition 自訂標籤會為您處理模型開發繁重的工作,因此不需要機器學習體驗。您只需要提供您要識別的物件或場景的影像,而服務會處理其餘項目。
若要進一步了解,請參閱 [Amazon Rekognition](https://aws.amazon.com/rekognition/)。
## AWS Managed Services 常見問答集中的 Amazon Rekognition
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 Amazon Rekognition?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_rekognition_console_role & customer_rekognition_service_role`。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon Rekognition 有哪些限制?**
Amazon Rekognition 的完整功能可供 Amazon Rekognition 自行佈建的服務角色使用。
**問:在我的 AMS 帳戶中使用 Amazon Rekognition 有哪些先決條件或相依性?**
如果您使用 Kinesis Video Streams 為 Amazon Rekognition Video 串流處理器或資料串流提供來源串流影片,做為將資料寫入 Kinesis Data Streams 的目的地,請在建立 RFC `kinesisStreamName`時為 AMS 提供 。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon SageMaker AI
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon SageMaker AI 功能。SageMaker AI 可讓每位開發人員和資料科學家快速建置、訓練和部署機器學習模型。Amazon SageMaker AI 是一項全受管服務,涵蓋整個機器學習工作流程,以標記和準備您的資料、選擇演算法、訓練模型、調校和最佳化部署、進行預測並採取動作。您的模型可以更快地進入生產環境,減少許多工作量並降低成本。若要進一步了解,請參閱 [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/)。
## AWS Managed Services 常見問答集中的 SageMaker AI
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 SageMaker AI?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶: `customer_sagemaker_admin_role` 和服務角色 `AmazonSageMaker-ExecutionRole-Admin`。在您的帳戶中佈建 SageMaker AI 之後,您必須在聯合解決方案中加入該`customer_sagemaker_admin_role`角色。您無法直接存取服務角色;SageMaker AI 服務會在執行各種動作時使用它,如下所述:[傳遞角色](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-pass-role)。
**問:在我的 AMS 帳戶中使用 SageMaker AI 有哪些限制?**
+ AMS Amazon SageMaker AI IAM 角色不支援下列使用案例:
+ 目前不支援 SageMaker AI Studio。
+ 不支援 SageMaker AI Ground Truth 來管理私有人力資源,因為此功能需要對 Amazon Cognito 資源的過度允許存取。如果需要管理私有人力資源,您可以請求具有合併 SageMaker AI 和 Amazon Cognito 許可的自訂 IAM 角色。否則,我們建議您使用公有人力資源 (由 Amazon Mechanical Turk 提供支援) 或 AWS Marketplace 服務供應商進行資料標記。
+ 建立 VPC 端點以支援對 SageMaker AI 服務的 API 呼叫 (aws.sagemaker.\$1region\$1.notebook、com.amazonaws.\$1region\$1.sagemaker.api & com.amazonaws.\$1region\$1.sagemaker.runtime),因為許可範圍不能縮小為僅限 SageMaker AI 相關服務。若要支援此使用案例,請提交管理 \$1 其他 \$1 其他 RFC 以建立相關的 VPC 端點。
+ 不支援 SageMaker AI 端點自動擴展,因為 SageMaker AI 需要任何 ("\$1") 資源的`DeleteAlarm`許可。若要支援端點自動擴展,請提交管理 \$1 其他 \$1 其他 RFC 來設定 SageMaker AI 端點的自動擴展。
**問:在我的 AMS 帳戶中使用 SageMaker AI 的先決條件或相依性是什麼?**
+ 下列使用案例在使用前需要特殊組態:
+ 如果 S3 儲存貯體將用於存放模型成品和資料,則您必須使用部署 \$1 進階堆疊元件 \$1 S3 儲存 \$1 建立 RFC,請求名為 且具有必要關鍵字 ("SageMaker"、"Sagemaker"、"sagemaker" 或 "aws-glue") 的 S3 儲存貯體。
+ 如果將使用彈性檔案存放區 (EFS),則必須在相同的子網路中設定 EFS 儲存,並由安全群組允許。
+ 如果其他資源需要直接存取 SageMaker AI 服務 (筆記本、API、執行時間等),則必須由下列人員請求組態:
+ 提交 RFC 以建立端點的安全群組 (部署 \$1 進階堆疊元件 \$1 安全群組 \$1 建立 (自動))。
+ 提交管理 \$1 其他 \$1 其他 \$1 建立 RFC 以設定相關的 VPC 端點。
**問: `customer_sagemaker_admin_role`可以直接存取的資源支援哪些命名慣例?** (以下用於更新和刪除許可;如果您需要資源的其他支援命名慣例,請聯絡 AMS Cloud Architect 進行諮詢。)
+ 資源:傳遞`AmazonSageMaker-ExecutionRole-*`角色
+ 許可:SageMaker AI 自我佈建服務角色支援搭配 AWS Glue AWS RoboMaker和 使用 SageMaker AI 服務角色 (`AmazonSageMaker-ExecutionRole-*`) AWS Step Functions。
+ 資源:Secrets Manager 上的 AWS 秘密
+ 許可:使用`AmazonSageMaker-*`字首描述、建立、取得、更新秘密。
+ 許可:描述,當`SageMaker`資源標籤設定為 時取得秘密`true`。
+ 資源: 上的儲存庫 AWS CodeCommit
+ 許可:建立/刪除字`AmazonSageMaker-*`首為 的儲存庫。
+ 許可:在具有下列字首 、 `*sagemaker*``*SageMaker*`和 的儲存庫上提取/推送 Git`*Sagemaker*`。
+ 資源:Amazon ECR (Amazon Elastic Container Registry) 儲存庫
+ 許可:許可:使用下列資源命名慣例 時,設定、刪除儲存庫政策並上傳容器映像`*sagemaker*`。
+ 資源:Amazon S3 儲存貯體
+ 許可:當資源具有下列字首時,取得、放置`*Sagemaker*`、刪除物件、中止分段上傳 S3 物件:`*SageMaker*`、 `*sagemaker*`和 `aws-glue`。
+ 許可:當`SageMaker`標籤設定為 時取得 S3 物件`true`。
+ 資源:Amazon CloudWatch Log Group
+ 許可:建立日誌群組或串流、放置日誌事件、列出、更新、建立、刪除具有下列字首的日誌交付:`/aws/sagemaker/*`。
+ 資源:Amazon CloudWatch 指標
+ 許可:使用下列字首時放置指標資料:`AWS/SageMaker`、`AWS/SageMaker/`、`aws/SageMaker`、`aws/SageMaker/`、`aws/sagemaker`、 `aws/sagemaker/`和 `/aws/sagemaker/.`。
+ 資源:Amazon CloudWatch Dashboard
+ 許可:使用下列字首時建立/刪除儀表板:`customer_*`。
+ 資源:Amazon SNS (簡易通知服務) 主題
+ 許可:使用下列字首時訂閱/建立主題:`*SageMaker*`、 `*sagemaker*`和 `*Sagemaker*`。
**問: `AmazonSageMakerFullAccess`和 之間的差異是什麼`customer_sagemaker_admin_role`?**
`customer_sagemaker_admin_role` 搭配 的 `customer_sagemaker_admin_policy`提供與 AmazonSageMakerFullAccess 幾乎相同的許可,除了:
+ 與 AWS RoboMaker、Amazon Cognito 和資源連線的許可 AWS Glue 。
+ SageMaker AI 端點自動擴展。您必須提交 RFC 與管理 \$1 進階堆疊元件 \$1 Identity and Access Management (IAM) \$1 更新實體或政策 (受管自動化) 變更類型 (ct-27tuth19k52b4),以暫時或永久提升自動擴展許可,因為自動擴展需要在 CloudWatch 服務上進行寬鬆存取。
**問:如何在靜態資料加密中採用 AWS KMS 客戶受管金鑰?**
您必須確保金鑰政策已在客戶受管金鑰上正確設定,以便相關的 IAM 使用者或角色可以使用金鑰。如需詳細資訊,請參閱[AWS KMS 金鑰政策文件](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users)。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Simple Email Service
使用 AMS 自助式佈建 (SSP) 模式,直接在您的 AMS 受管帳戶中存取 Amazon Simple Email Service (Amazon SES) 功能。Amazon Simple Email Service 是一種雲端電子郵件傳送服務,旨在協助數位行銷人員和應用程式開發人員、傳送行銷、通知和交易電子郵件。
您可以使用 SMTP 界面或其中一個 AWS SDKs,將 Amazon SES 直接整合到現有的應用程式。您也可以將 Amazon SES 的電子郵件傳送功能整合至您已使用的軟體,例如票證系統和電子郵件用戶端。
若要進一步了解,請參閱 [Amazon Simple Email Service](https://aws.amazon.com/ses/)。
## AWS Managed Services 常見問答集中的 Amazon SES
**問:如何請求存取 AMS 帳戶中的 Amazon SES?**
透過使用 Management \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 Amazon SES。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_ses_admin_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon SES 的先決條件或相依性是什麼?**
+ 您必須設定 S3 儲存貯體政策,以允許 Amazon SES 將事件發佈至儲存貯體。
+ 您必須使用預設 (AWS SES) 或設定 CMK 金鑰,以允許 Amazon SES 加密電子郵件,並將事件推送至屬於帳戶的其他服務資源,例如 Amazon S3、Amazon SNS、Lambda 和 Firehose。
**問:在我的 AMS 帳戶中使用 Amazon SES 有哪些限制?**
您必須提出 RFCs才能建立下列資源:
+ 具有 PutEvents 許可的 SMTP 使用者和 IAM 服務角色,傳送至 Kinesis Firehose 串流。
+ 您必須使用 AMS 變更類型建立新的 AWS 資源,例如 S3 儲存貯體、Firehose 串流、SNS 主題,Amazon SES 規則和組態集的目的地才能使用這些資源。
+ SMTP 登入資料。若要請求新的 SMTP 登入資料,請使用變更類型 (管理 \$1 其他 \$1 其他 \$1 建立)。AMS 會建立登入資料,並將其新增至 Secrets Manager。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Simple Workflow Service
使用 AMS 自助式佈建 (SSP) 模式,直接在您的 AMS 受管帳戶中存取 Amazon Simple Workflow Service (Amazon SWF) 功能。Amazon Simple Workflow Service 可協助開發人員建置、執行和擴展具有平行或循序步驟的背景任務。您可以在 雲端中將 Amazon SWF 視為全受管狀態追蹤器和任務協調器。如果您應用程式的步驟需要超過 500 毫秒才能完成,您需要追蹤處理狀態,或者如果任務失敗,則需要復原或重試,Amazon SWF 可以為您提供協助。若要進一步了解,請參閱 [Amazon Simple Workflow Service](https://aws.amazon.com/swf/)。
## AWS Managed Services 常見問答集中的 Amazon SWF
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 Amazon SWF?**
透過提交管理 \$1 AWS 服務 \$1 自行佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_swf_role`。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon SWF 有哪些限制?**
Lambda `InvokeFunction`許可已包含在此服務中,但新增至所有 AMS 客戶角色`customer_deny_policy`的 AMS 明確拒絕存取 AMS Lambda 函數和 AMS 擁有的資源。若要標記或取消標記 Amazon SWF 中的資源,請提交管理 \$1 其他 \$1 其他變更類型。
**問:在我的 AMS 帳戶中使用 Amazon SWF 的先決條件或相依性是什麼?**
Amazon SWF 取決於 AWS Lambda 服務,因此,已提供叫用 Lambda 的許可做為此角色的一部分,而且從 Amazon SWF 叫用 Lambda 不需要額外的許可。否則,使用 Amazon SWF 沒有先決條件。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Textract
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon Textract 功能。Amazon Textract 是一項全受管的機器學習服務,可自動從掃描文件中擷取列印的文字、手寫和其他資料,這些文件超出簡易光學字元辨識 (OCR),以識別、了解並從表單和資料表擷取資料。若要進一步了解,請參閱 [Amazon Textract](https://aws.amazon.com/textract/)。
## AWS Managed Services 常見問答集中的 Amazon Textract
常見問題和解答:
**問:如何請求在我的 AMS 帳戶中設定 Amazon Textract?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_textract_human_review_execution_role`、 `customer_textract_console_role`和 `customer_ec2_textract_instance_profile`。在帳戶中佈建後,您必須在聯合解決方案`customer_textract_console_role`中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon Textract 有哪些限制?**
在您的 AMS 帳戶中使用 Amazon Textract 沒有限制。
**問:在我的 AMS 帳戶中使用 Amazon Textract 有哪些先決條件或相依性?**
您必須提交 RFC 部署 \$1 進階堆疊元件 \$1S3 儲存 \$1 建立 (ct-1a68ck03fn98r) 來請求建立 S3 儲存貯體。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon Transcribe
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon Transcribe 功能。Amazon Transcribe 是一種全受管且持續訓練的自動語音辨識服務,可從音訊檔案自動產生時間戳記的文字文字記錄。Amazon Transcribe 可讓開發人員輕鬆地將speech-to-text功能新增至其應用程式。音訊資料幾乎無法讓電腦搜尋和分析。因此,錄製的語音需要轉換為文字,才能用於應用程式。從歷史上看,客戶必須與轉錄供應商合作,這些供應商需要他們簽署昂貴的合約,並且很難整合到他們的技術堆疊中來完成此任務。其中許多供應商使用過時的技術無法很好地適應不同的案例,例如聯絡中心中常見的低傳真電話音訊,這會導致準確性不佳。
Amazon Transcribe 使用稱為自動語音辨識 (ASR) 的深度學習程序,快速準確地將語音轉換為文字。Amazon Transcribe 可用來轉錄客戶服務呼叫、自動化隱藏式字幕和字幕,以及產生媒體資產的中繼資料,以建立可完全搜尋的封存。您可以使用 Amazon Transcribe Medical 將醫療speech-to-text功能新增至臨床文件應用程式。若要進一步了解,請參閱 [Amazon Transcribe](https://aws.amazon.com/transcribe/)。
## AWS Managed Services 常見問答集中的 Amazon Transcribe
常見問題和解答:
**問:如何請求在我的 AMS 帳戶中設定 Amazon Transcribe?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_transcribe_role`。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Amazon Transcribe 有哪些限制?**
除非 RA 另有指定,否則在使用轉錄時,您必須使用 'customer-transcribe\$1' 做為儲存貯體的字首。
您無法在 Amazon 轉錄中建立 IAM 角色。
您無法針對預設 SSPS 中的輸出資料使用服務受管 S3 儲存貯體 (如有需要,請聯絡您的 帳戶 CA)。
如果您想要使用不屬於 AMS 命名空間的客戶受管 KMS 金鑰,則必須提交風險接受。
**問:在我的 AMS 帳戶中使用 Amazon Transcribe 的先決條件或相依性是什麼?**
S3 必須能夠存取名為 'customer-transcribe\$1' 的儲存貯體。如果您的 S3 儲存貯體使用 KMS 金鑰加密,則需要 KMS 才能使用 Amazon Transcribe。如果儲存貯體不需要加密,則可以移除「KMStranscribeAllow」。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon WorkSpaces
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 WorkSpaces 功能。WorkSpaces 可讓您為使用者佈建以雲端為基礎的虛擬 Microsoft Windows 或 Amazon Linux 桌面,稱為 WorkSpaces。WorkSpaces 無需採購和部署硬體或安裝複雜軟體。您可以在需求變更時快速新增或移除使用者。使用者從支援的裝置使用用戶端應用程式存取其 WorkSpaces,或針對 Windows WorkSpaces 使用 Web 瀏覽器,並使用其現有的內部部署 Active Directory (AD) 登入資料登入。
若要進一步了解,請參閱 [Amazon WorkSpaces](https://aws.amazon.com/workspaces/)。
## AWS Managed Services 常見問答集中的 WorkSpaces
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 WorkSpaces?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_workspaces_console_role`。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 WorkSpaces 有哪些限制?**
Amazon WorkSpaces 自行佈建服務角色提供工作區的完整功能。
**問:在我的 AMS 帳戶中使用 WorkSpaces 的先決條件或相依性是什麼?**
+ WorkSpaces 受限於 AWS 區域;因此,AD Connector 必須在託管 WorkSpaces 執行個體 AWS 的相同區域中設定。
客戶可以使用下列兩種方法之一,將 WorkSpaces 連線至客戶 AD:
1. 使用 AD 連接器將身分驗證代理到內部部署 Active Directory 服務 (偏好):
在整合 WorkSpaces 執行個體與內部部署目錄服務之前,在您的 AMS 帳戶中設定 Active Directory (AD) Connector。AD Connector 可做為現有 AD 使用者 (來自您的網域) 的代理,以使用現有的內部部署 AD 登入資料連線至 WorkSpaces。這是偏好的做法,因為 WorkSpaces 會直接加入客戶的內部部署網域,同時充當資源和使用者樹系,進而在客戶端獲得更多控制。
如需詳細資訊,請參閱[部署 Amazon WorkSpaces 的最佳實務 (案例 1)](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/scenario-1-using-ad-connector-to-proxy-authentication-to-on-premises-active-directory-service.html)。
1. 搭配 AWS Microsoft AD、共用服務 VPC 使用 AD Connector,以及對內部部署的單向信任:
您也可以先建立從 AMS 受管 AD 到內部部署 AD 的單向傳出信任,以使用內部部署目錄驗證使用者。WorkSpaces 將使用 AD Connector 加入 AMS 受管 AD。然後,WorkSpaces 存取許可將透過 AMS 受管 AD 委派給 WorkSpaces 執行個體,而無需與您的內部部署環境建立雙向信任。在此案例中,使用者樹系將位於客戶 AD 中,而資源樹系將位於 AMS 受管 AD 中 (可透過 RFC 請求對 AMS 受管 AD 的變更)。請注意,WorkSpaces VPC 與執行 AMS 受管 AD 的 MALZ 共用服務 VPC 之間的連線是透過 Transit Gateway 建立。
如需詳細資訊,請參閱[部署 Amazon WorkSpaces 的最佳實務 (案例 6)](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/scenario-6-aws-microsoft-ad-shared-services-vpc-and-a-one-way-trust-to-on-premises.html)。
**注意**
AD Connector 可以透過提交具有必要 AD 組態詳細資訊的管理 \$1 其他 \$1 其他 \$1 建立變更類型 RFC 來進行設定;如需詳細資訊,請參閱[建立 AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_ad_connector.html)。如果方法 2 用於在 AMS 受管 AD 中建立資源樹系,請執行 AMS 受管 AD,在 AMS 共用服務帳戶中提交另一個管理 \$1 其他 \$1 建立變更類型 RFC。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 AMS Code 服務
使用 AMS 自助式服務佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 AMS Code 服務功能。AMS Code 服務是 AWS 程式碼管理服務的專屬綁定,如下所述。您可以選擇使用 AMS Code 服務在 AMS 中部署所有服務,也可以在 AMS 中個別部署這些服務。
AMS Code 服務包含下列服務:
+ AWS CodeCommit:全受管[來源控制](https://aws.amazon.com/devops/source-control)服務,可託管安全的 Git 型儲存庫。它讓團隊可以在安全且高度可擴展的生態系統中協作程式碼。CodeCommit 無需操作您自己的來源控制系統或擔心擴展其基礎設施。您可以使用 CodeCommit 安全地存放從原始程式碼到二進位檔的任何內容,並與您現有的 Git 工具無縫搭配使用。如需進一步了解,請參閱 [AWS CodeCommit](https://aws.amazon.com/codecommit/)
若要在獨立於 AMS Code 服務的 AMS 帳戶中部署此項目,請參閱 [使用 AMS SSP AWS CodeCommit 在您的 AMS 帳戶中佈建](codecommit.md)。
+ AWS CodeBuild:全受管持續整合服務,可編譯原始程式碼、執行測試,並產生準備好部署的軟體套件。使用 CodeBuild,您便不必佈建、管理、擴展自己的組建伺服器。CodeBuild 會持續擴展並同時處理多個組建,所以您的組建不必排入佇列中等候。您可以利用預先封裝好的組建環境立即開始使用,或是建立自訂的組建環境來使用您自己的組建工具。使用 CodeBuild 時,將依據您使用運算資源的分鐘數計費。如需進一步了解,請參閱 [AWS CodeBuild](https://aws.amazon.com/codebuild/)
若要在獨立於 AMS Code 服務的 AMS 帳戶中部署此項目,請參閱 [使用 AMS SSP AWS CodeBuild 在您的 AMS 帳戶中佈建](code-build.md)。
+ AWS CodeDeploy:全受管部署服務,可將軟體部署自動化至各種運算服務,例如 Amazon EC2 和您的內部部署伺服器。 AWS CodeDeploy 可協助您快速發行新功能,協助您避免應用程式部署期間的停機時間,並處理更新應用程式的複雜性。您可以使用 AWS CodeDeploy 來自動化軟體部署,無需進行容易出錯的手動操作。服務會擴展以符合您的部署需求。如需進一步了解,請參閱 [AWS CodeDeploy](https://aws.amazon.com/codedeploy/)
若要在獨立於 AMS Code 服務的 AMS 帳戶中部署此項目,請參閱 [使用 AMS SSP AWS CodeDeploy 在您的 AMS 帳戶中佈建](code-deploy.md)。
+ AWS CodePipeline:全受管[持續交付](https://aws.amazon.com/devops/continuous-delivery/)服務,可協助您自動化發行管道,以實現快速可靠的應用程式和基礎設施更新。根據您定義的發行模型,CodePipeline 可以自動在每次程式碼變更時建置、測試和部署程式碼。這可讓您快速且可靠地交付功能和更新。您可以輕鬆地 AWS CodePipeline 與第三方服務整合,例如 GitHub 或您自己的自訂外掛程式。使用 時 AWS CodePipeline,您只需支付使用量的費用。沒有預付費用,也無需長期承諾。如需進一步了解,請參閱 [AWS CodePipeline](https://aws.amazon.com/codepipeline/)
若要在獨立於 AMS Code 服務的 AMS 帳戶中部署此項目,請參閱 [使用 AMS SSP AWS CodePipeline 在您的 AMS 帳戶中佈建](code-pipeline.md)。
## AWS Managed Services 常見問答集中的 AMS 程式碼服務
**問:如何請求存取 AMS 帳戶中的 AMS Code 服務?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_code_suite_console_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。此時,AMS Operations 也會在您的帳戶中部署 CodeBuild`customer_codebuild_service_role`、CodeDeploy 和 CodePipeline `customer_codedeploy_service_role``aws_code_pipeline_service_role`服務的 、、 服務角色。如果需要 的其他 IAM 許可`customer_codebuild_service_role`,請提交 AMS 服務請求。
**注意**
您也可以個別新增這些服務;如需相關資訊[使用 AMS SSP AWS CodePipeline 在您的 AMS 帳戶中佈建](code-pipeline.md),請分別參閱 [使用 AMS SSP AWS CodeDeploy 在您的 AMS 帳戶中佈建](code-deploy.md)、 [使用 AMS SSP AWS CodeBuild 在您的 AMS 帳戶中佈建](code-build.md)和 。
**問:在我的 AMS 帳戶中使用 AMS Code 服務有哪些限制?**
+ AWS CodeCommit:CodeCommit 上的觸發功能會因為建立 SNS 主題的相關權限而停用。針對 CodeCommit 的直接驗證受到限制;使用者應該使用登入資料協助程式進行驗證。有些 KMS 命令也會受到限制: kms:Encrypt、 kms:Decrypt、 kms:ReEncrypt、 kms:GenereteDataKey、 kms:GenerateDataKeyWithoutPlaintext 和 kms:DescribeKey。
+ CodeBuild:對於 AWS CodeBuild 主控台管理員存取,許可在資源層級受到限制;例如,CloudWatch 動作在特定資源上受到限制,且`iam:PassRole`許可受到控制。
+ CodeDeploy:目前 CodeDeploy 僅支援在 Amazon EC2/內部部署部署。不支援透過 CodeDeploy 在 ECS 和 Lambda 上部署。
+ CodePipeline:CodePipeline 功能、階段和提供者僅限於下列項目:
+ 部署階段:Amazon S3 和 AWS CodeDeploy
+ 來源階段:Amazon S3 AWS CodeCommit、位元儲存貯體和 GitHub
+ 組建階段: AWS CodeBuild 和 Jenkins
+ 核准階段:Amazon SNS
+ 測試階段: AWS CodeBuild、Jenkins、BlazeMeter、Ghost Inspector UI 測試、Micro Focus StormRunner Load、Runscope API 監控
+ 調用階段:Step Functions 和 Lambda
**注意**
AMS Operations 會在您的帳戶`customer_code_pipeline_lambda_policy`中部署 ;它必須與 Lambda 叫用階段的 Lambda 執行角色連接。提供您要新增此政策的 Lambda 服務/執行角色名稱。如果沒有自訂 Lambda 服務/執行角色,則 AMS 會建立名為 的新角色`customer_code_pipeline_lambda_execution_role`,這是 ` customer_lambda_basic_execution_role` 與 的複本`customer_code_pipeline_lambda_policy`。
**問:在我的 AMS 帳戶中使用 AMS Code 服務的先決條件或相依性是什麼?**
+ CodeCommit:如果 S3 儲存貯體使用 AWS KMS 金鑰加密, AWS KMS 則需要 S3 和 才能使用 AWS CodeCommit。
+ CodeBuild:如果定義的 AWS CodeBuild 服務角色需要額外的 IAM 許可,請透過 AMS 服務請求請求它們。
+ CodeDeploy:無。
+ CodePipeline:None. AWS supported 服務—AWS CodeCommit、 AWS CodeBuild、 AWS CodeDeploy—必須在啟動 CodePipeline 之前啟動,或與 CodePipeline 一起啟動。不過,這由 AMS 工程師完成。
# 使用 AMS SSP AWS Amplify 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Amplify 的功能。 AWS Amplify 是一個完整的解決方案,可讓前端 Web 和行動開發人員輕鬆建置、連線和託管完整堆疊應用程式。Amplify 提供彈性,可隨著使用案例的演進而利用 AWS 服務的廣度。Amplify 提供建置完整堆疊 iOS、Android、Flutter、Web 和 React Native 應用程式的產品。如需詳細資訊,請參閱 [AWS Amplify](https://docs.amplify.aws/console)。
## AWS Amplify 在 AWS Managed Services 常見問答集中
常見問題和解答:
**問:如何 AWS Amplify 請求在我的 AMS 帳戶中設定 ?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_amplify_console_role`。佈建至您的帳戶後,您必須在聯合解決方案中加入該角色。
此外,您必須提供風險接受,因為 AWS Amplify 具有基礎設施變更許可。若要這樣做,請使用您的 Cloud Service Delivery Manager (CSDM)。
**問: AWS Amplify 在我的 AMS 帳戶中使用 有哪些限制?**
除非 RA 和 另有指定,否則在使用 Amplify 時,您必須使用 `'amplify*'`做為儲存貯體的字首。
**問: AWS Amplify 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
AWS Amplify 在您的 AMS 帳戶中使用 沒有先決條件。
**僅限 Malz 環境**:Amplify 的預設加入角色為「customer\$1amplify\$1console\$1role」。若要使用自訂角色,請先部署 IAM 實體。然後,建立額外的 RFC,將您的自訂角色新增至應用程式帳戶允許清單的服務控制政策。
# 使用 AMS SSP 佈建 AWS AppSync
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS AppSync 的功能。 可讓您建立彈性 API 來安全地存取、操作和合併來自一或多個資料來源的資料,以 AWS AppSync 簡化應用程式開發。 AWS AppSync 是一種受管服務,可使用 GraphQL 讓應用程式輕鬆取得他們所需的資料。
透過 AWS AppSync,您可以在 NoSQL 資料存放區、關聯式資料庫、HTTP APIs 和自訂資料來源等各種資料來源上建置可擴展的應用程式,包括需要即時更新的應用程式 AWS Lambda。對於行動和 Web 應用程式, AWS AppSync 還會在裝置離線時提供本機資料存取,並在恢復上線時提供與可自訂衝突解決方案的資料同步。如需詳細資訊,請參閱 [AWS AppSync](https://aws.amazon.com/appsync/)。
## AWS AppSync 在 AWS Managed Services 常見問答集中
常見問題和解答:
**問:如何在我的 AMS AWS AppSync 帳戶中請求存取權?**
透過提交管理 \$1 AWS 服務 \$1 自行佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶: `customer_appsync_service_role`和 `customer_appsync_author_role`。在帳戶中佈建後,您必須在聯合解決方案`customer_appsync_author_role`中加入 。
**問:使用 有哪些限制 AWS AppSync?**
+ 在 AppSync 上建立資料來源時,客戶需要指定先前建立的服務角色,不允許建立新角色,因此將傳回拒絕存取
+ AppSync 角色設定為將許可限制為包含「AMS-」或「MC-」字首的資源,以防止對 AMS 基礎設施進行任何修改。
**問:要使用哪些先決條件或相依性 AWS AppSync?**
此服務允許將多個其他 服務用作資料來源,使用它們的基本許可包含在服務角色 (`customer_appsync_service_role`) 中,但您必須在使用服務時手動選取服務角色。
# 使用 AMS SSP AWS App Mesh 在您的 AMS 帳戶中佈建
使用 AMS 自助式服務佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS App Mesh 的功能。 AWS App Mesh 提供應用程式層級聯網,讓您的服務可以輕鬆地跨多種類型的運算基礎設施彼此通訊。App Mesh 會標準化您的服務通訊方式,為您提供end-to-end可見性,並確保應用程式的高可用性。
AWS App Mesh 透過為跨多種運算基礎設施建置的服務提供一致的可見性和網路流量控制,讓您輕鬆執行服務。App Mesh 不需要更新應用程式程式碼,即可變更監控資料的收集方式或在服務之間路由流量的方式。App Mesh 會設定每個服務以匯出監控資料,並跨應用程式實作一致的通訊控制邏輯。這可讓您輕鬆地快速找出錯誤的確切位置,並在發生故障或需要部署程式碼變更時自動重新路由網路流量。如需詳細資訊,請參閱 [AWS App Mesh](https://aws.amazon.com/app-mesh/)。
## AWS App Mesh AWS Managed Services 常見問答集中的
常見問題和解答:
**問:如何在我的 AMS AWS App Mesh 帳戶中請求存取權?**
透過提交管理 \$1 AWS 服務 \$1 自行佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_app_mesh_console_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:使用 有哪些限制 AWS App Mesh?**
完整功能 AWS App Mesh 可在您的 AMS 帳戶中使用。
**問:要使用哪些先決條件或相依性 AWS App Mesh?**
AWS App Mesh 您的 AMS 帳戶中沒有要使用的先決條件或相依性。
# 使用 AMS SSP AWS Audit Manager 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Audit Manager 功能。Audit Manager 可協助您持續稽核 AWS 用量,以簡化您評估風險的方式,以及是否符合法規和業界標準。Audit Manager 會自動化證據收集,讓您更容易評定您的政策、程序和活動是否有效運作。進行稽核時,Audit Manager 可協助您管理控制項的利益相關者審查,並協助您以大幅減少手動作業的方式建立稽核就緒的報告。若要進一步了解,請參閱 [Audit Manager](https://aws.amazon.com/audit-manager/)。
## AWS Audit Manager 在 AWS Managed Services 常見問答集中
常見問題和解答:
**問:如何請求存取 AMS 帳戶中 AWS Audit Manager 的 ?**
您可以透過提交 AWS 服務 RFC 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 來請求存取權。此 RFC 會在您的帳戶中佈建下列 IAM 角色:`customer-audit-manager-admin-Role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:使用 有哪些限制 AWS Audit Manager?**
AWS Audit Manager 在您的 AMS 帳戶中使用 沒有限制。 AWS Audit Manager 提供 的完整功能。
**問:要使用哪些先決條件或相依性 AWS Audit Manager?**
1. 您需要將您希望報告/評估所在的 s3 儲存貯體提供給 AMS。
1. 如果您想要使用 服務進行加密,您需要向 AMS 提供要使用的 KMS CMK ARN。
1. 如果您想要將 SNS 通知傳送至主題,您必須提供主題的名稱或 arn。
1. **(選用)** 如果您想要在 Audit Manager 中啟用 Organizations 做為多帳戶登陸區域的一部分,並且想要委派管理員帳戶,則需要額外的先決條件:在 RFC (管理 \$1 AWS 服務 \$1 相容服務 \$1 新增) 的描述欄位中,提及您想要在 Audit Manager 設定中使用委派管理員帳戶,並提供下列詳細資訊:
+ KMS CMK ARN (最初用於設定 Audit Manager)
+ 做為此多帳戶登陸區域一部分的 Audit Manager 委派管理員帳戶 ID (可以是 MALZ 應用程式帳戶)
# 使用 AMS SSP AWS Batch 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Batch 的功能。 AWS Batch 可讓開發人員、科學家和工程師輕鬆有效地執行數十萬個批次運算任務 AWS。 會根據所提交批次任務的磁碟區和特定資源需求, AWS Batch 動態佈建最佳數量和類型的運算資源 (例如 CPU 或記憶體最佳化執行個體)。使用 AWS Batch,您不需要安裝和管理用於執行任務的批次運算軟體或伺服器叢集,讓您專注於分析結果和解決問題。如需詳細資訊,請參閱 [AWS Batch](https://aws.amazon.com/batch/)。
## AWS Batch 在 AWS Managed Services 常見問答集中
常見問題和解答:
**問:如何請求存取 AMS 帳戶中 AWS Batch 的 ?**
1. 若要請求存取 AWS Batch,請提交 RFC 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct)。此 RFC 會在您的帳戶中佈建下列 IAM 角色和政策:
IAM 角色:
+ `customer_batch_console_role`
+ `customer_batch_ecs_instance_role`
+ `customer_batch_events_service_role`
+ `customer_batch_service_role`
+ `customer_batch_ecs_task_role`
政策:
+ `customer_batch_console_role_policy`
+ `customer_batch_service_role_policy`
+ `customer_batch_events_service_role_policy`
2. 在帳戶中佈建之後,您必須在聯合解決方案`customer_batch_console_role`中加入角色。
**問:使用 有哪些限制 AWS Batch?**
建立運算環境時,應將 EC2 執行個體標記為「customer\$1batch」或「customer-batch」。如果執行個體未加上標籤,則當任務完成時,執行個體將不會以批次方式終止。
**問:要使用哪些先決條件或相依性 AWS Batch?**
AWS Batch 您的 AMS 帳戶中沒有要使用的先決條件或相依性。
# 使用 AMS SSP AWS Certificate Manager 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 AWS Certificate Manager (ACM) 功能。 AWS Certificate Manager 是一種服務,可讓您佈建、管理和部署公有和私有 Secure Sockets Layer/Transport Layer Security (SSL/TLS) 憑證,以搭配 AWS 服務和您的內部連線資源使用。SSL/TLS 憑證用於保護網路通訊,並透過網際網路以及私有網路上的資源建立網站身分。 AWS Certificate Manager 移除了購買、上傳和續約 SSL/TLS 憑證的耗時手動程序。
使用 AWS Certificate Manager,您可以請求憑證,將其部署在 ACM 整合 AWS 的資源上,例如 Elastic Load Balancer、Amazon CloudFront 分佈和 APIs上的 API,並讓 AWS Certificate Manager 處理憑證續約。它還可讓您為內部資源建立私有憑證,並集中管理憑證生命週期。透過 佈建 AWS Certificate Manager 以與 ACM 整合服務搭配使用的公有和私有憑證是免費的。您只需為執行應用程式所建立 AWS 的資源付費。使用 [AWS 私有憑證授權單位](https://aws.amazon.com/certificate-manager/private-certificate-authority/)時,您需按月為 的操作付費, AWS 私有 CA 並為您發行的私有憑證付費。若要進一步了解,請參閱 [AWS Certificate Manager - AWS Documentation](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)。
## AWS Managed Services 常見問答集中的 ACM
常見問題和解答:
**問:如何請求存取 AMS 帳戶中 AWS Certificate Manager 的 ?**
透過提交管理 \$1 AWS 服務 \$1 自行佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_acm_create_role`。您可以使用此角色來建立和管理 ACM 憑證。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
即使您尚未新增 IAM 角色,也可以使用下列變更類型建立 ACM `customer_acm_create_role` 憑證:
+ [ ACM \$1 建立公有憑證](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-create-public-certificate.html)
+ [ ACM \$1 建立私有憑證](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-create-private-certificate.html)
+ [ 具有其他 SANs ACM 憑證 \$1 建立](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-certificate-with-additional-sans-create.html)
**問:使用 有哪些限制 AWS Certificate Manager?**
您必須向 AMS 提交變更請求 (RFC) 來刪除或修改現有的憑證,因為這些動作需要完整的管理員存取權 (使用管理 \$1 進階堆疊元件 \$1 ACM \$1 刪除憑證變更類型 (ct-1q8q56cmwqj9m))。請注意,IAM 政策無法根據標籤名稱 (mc\$1、ams\$1 等) 排除權利。憑證不會產生成本,因此刪除未使用的憑證不限時。
**問:使用 Certificate Manager 有哪些先決條件或相依性?**
現有的公有 DNS 名稱,以及建立 DNS CNAME 記錄的存取權,但這些記錄不需要託管在受管帳戶中。
# 使用 AMS SSP AWS 私有憑證授權單位 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS 私有憑證授權單位 的功能。私有憑證用於識別和保護私有網路上連線資源之間的通訊,例如伺服器、行動裝置和 IoT 裝置和應用程式。 AWS 私有 CA 是一種受管私有 CA 服務,可協助您輕鬆且安全地管理私有憑證的生命週期。 AWS 私有 CA 為您提供高可用性的私有 CA 服務,無需預付投資和持續的維護成本來操作您自己的私有 CA。 將 ACM 的憑證管理功能 AWS 私有 CA 擴展到私有憑證,可讓您集中建立和管理公有和私有憑證。您可以使用 AWS 管理主控台或 ACM API,輕鬆建立和部署 AWS 資源的私有憑證。對於 EC2 執行個體、容器、IoT 裝置和內部部署資源,您可以輕鬆建立和追蹤私有憑證,並使用您自己的用戶端自動化程式碼進行部署。您也可以靈活地建立私有憑證,並針對需要自訂憑證生命週期、金鑰演算法或資源名稱的應用程式自行管理它們。如需進一步了解,請參閱 [AWS 私有 CA](https://aws.amazon.com/certificate-manager/private-certificate-authority/)。
## AWS 私有 CA 在 AWS Managed Services 常見問答集中
常見問題和解答:
**問:如何在我的 AMS AWS 私有 CA 帳戶中請求存取權?**
透過提交 AWS 服務 RFC 請求存取權 (管理 \$1 AWS 服務 \$1 相容服務)。透過此 RFC,將在您的帳戶中佈建下列 IAM 角色:`customer_acm_pca_role`。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問:使用 有哪些限制 AWS 私有 CA?**
目前, AWS Resource Access Manager (AWS RAM) 無法用來共用您的 AWS 私有 CA 跨帳戶。
**問:要使用哪些先決條件或相依性 AWS 私有 CA?**
1. 如果您打算建立 CRL,則需要 S3 儲存貯體來存放。 AWS 私有 CA 會自動將 CRL 存放在您指定的 Amazon S3 儲存貯體中,並定期更新。設定 CRL 之前,S3 儲存貯體必須具有下列儲存貯體政策。為了繼續此請求,請使用 ct-0fpjlxa808sh2 (管理 \$1 進階堆疊元件 \$1 S3 儲存 \$1 更新政策) 建立 RFC,如下所示:
+ 提供 S3 儲存貯體名稱或 ARN。
+ 將下列政策複製到 RFC,並以您想要`bucket-name`的 S3 儲存貯體名稱取代 。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource":[
"arn:aws:s3:::bucket-name/*",
"arn:aws:s3:::bucket-name"
]
}
]
}
```
------
2. 如果上述 S3 儲存貯體已加密,則 Service Principal acm-pca.amazonaws.com 需要解密許可。為了繼續此請求,請使用 ct-3ovo7px2vsa6n (管理 \$1 進階堆疊元件 \$1 KMS 金鑰 \$1 更新) 建立 RFC,如下所示:
+ 提供必須更新政策的 KMS 金鑰 ARN。
+ 將下列政策複製到 RFC,並以您想要`bucket-name`的 S3 儲存貯體名稱取代 。
```
{
"Sid":"Allow ACM-PCA use of the key",
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource":"*",
"Condition":{
"StringLike":{
"kms:EncryptionContext:aws:s3:arn":[
"arn:aws:s3:::bucket_name/acm-pca-permission-test-key",
"arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private",
"arn:aws:s3:::bucket_name/audit-report/*",
"arn:aws:s3:::bucket_name/crl/*"
]
}
}
}
```
3. AWS 私有 CA CRLs不支援 S3 設定「封鎖透過新存取控制清單 (ACLs公開存取」。您必須使用 S3 帳戶和儲存貯體停用此設定,以允許 AWS 私有 CA 寫入 CRLs,如[如何安全地建立和存放適用於 ACM Private CA 的 CRL](https://aws.amazon.com/blogs/security/how-to-securely-create-and-store-your-crl-for-acm-private-ca/)。如果您想要停用,請使用 ct-0xdawir96cy7k 建立新的 RFC (管理 \$1 其他 \$1 其他 \$1 更新) 並連接風險接受。如果您對風險接受有任何疑問,請聯絡您的 Cloud Architect。
# 使用 AMS SSP 在您的 AMS 帳戶中 provision AWS CloudEndure
**注意**
成功啟動 後 AWS Application Migration Service,CloudEndure Migration 服務會在所有 AWS 區域中終止生命週期。我們建議客戶使用 AWS Application Migration Service 來提升和轉移遷移至 GovCloud 區域和商業區域。如需詳細資訊,請參閱[什麼是 AWS Application Migration Service?](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html)。
如果您想要使用 AWS Application Migration Service,請聯絡您的 CA,讓他們可以引導您。
使用 AMS 自助式佈建 (SSP) 模式直接在您的 AMS 受管帳戶中存取 AWS CloudEndure 功能。 AWS CloudEndure 遷移可簡化、加速和自動化從實體、虛擬和雲端基礎設施到 的大規模遷移 AWS。CloudEndure 災難復原 (DR) 可防止停機時間和資料因任何威脅而遺失,包括勒索軟體和伺服器損毀。
## AWS Managed Services 常見問答集中的AWS CloudEndure
**問:如何請求存取 AMS 帳戶中的 CloudEndure?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 使用者佈建至您的帳戶:`customer_cloud_endure_user`。在帳戶中佈建後,使用者存取金鑰和私密金鑰會在 AWS Secrets Manager 中共用。
這些政策也會佈建至 帳戶: `customer_cloud_endure_policy`和 `customer_cloud_endure_deny_policy`。
此外,您必須提供風險接受,因為用於應用程式整合的 CloudEndure DR 解決方案具有基礎設施變更許可。若要這樣做,請與您的雲端服務交付管理員 (CSDM) 合作。
**問:在我的 AMS 帳戶中使用 CloudEndure 有哪些限制?**
雲端持久性複寫和轉換執行個體只能在您指定的子網路中啟動。
**問:在我的 AMS 帳戶中使用 CloudEndure 有哪些先決條件或相依性?** 透過 RFC 雙向通訊共用下列項目:
+ 要啟動的複寫和轉換執行個體的 VPC 子網路詳細資訊。
+ 如果 EBS 磁碟區已加密,則為 KMS Key Amazon Resource Name (ARN)。
# 使用 AMS SSP AWS CloudHSM 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS CloudHSM 的功能。 AWS CloudHSM 可協助您符合公司、 合約、 在 AWS 雲端中使用專用硬體安全模組 (HSM) 執行個體,確保資料安全的 和 法規合規要求。 AWS和 AWS Marketplace 合作夥伴 提供各種解決方案來保護 AWS 平台內的敏感資料, 但對於某些受合約或法規要求管理密碼編譯金鑰的應用程式和資料, 可能需要額外的保護。 AWS CloudHSM 會補足現有的資料保護解決方案,並允許您保護 HSMs 內的加密金鑰,這些加密金鑰是根據政府標準設計和驗證的安全金鑰管理。 AWS CloudHSM 可讓您安全地產生 。 存放區、 和管理用於資料加密的密碼編譯金鑰,只有您才能存取金鑰。如需詳細資訊,請參閱 [AWS CloudHSM](https://aws.amazon.com/cloudhsm/)。
## AWS CloudHSM 在 AWS Managed Services 常見問答集中
常見問題和解答:
**問:如何請求存取 AMS 帳戶中 AWS CloudHSM 的 ?**
在您的 AMS 帳戶中使用 是兩個步驟:
1. 請求 AWS CloudHSM 叢集。透過使用 管理 \$1 其他 \$1 其他 \$1 建立 (ct-1e1xtak34nx76) 變更類型提交 RFC 來執行此操作。包含下列詳細資訊:
+ AWS 區域。
+ VPC ID/ARN。提供與您提交的 RFC 位於相同帳戶中的 VPC ID/VPC ARN。
+ 為叢集指定至少兩個可用區域。
+ 將連線至 HSM 叢集的 Amazon EC2 執行個體 ID。
1. 存取 AWS CloudHSM 主控台。透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC 來執行此操作。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_cloudhsm_console_role`。
在帳戶中佈建角色之後,您必須在聯合解決方案中加入該角色。
**問: AWS CloudHSM 在我的 AMS 帳戶中使用 有哪些限制?**
存取 AWS CloudHSM 主控台無法讓您建立、終止或還原叢集。若要執行這些動作,請提交管理 \$1 其他 \$1 其他 \$1 建立變更類型 (ct-1e1xtak34nx76) 變更類型。
**問: AWS CloudHSM 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
您必須允許透過 VPC 中的用戶端 Amazon EC2 執行個體使用連接埠 2225 的 TCP 流量,或針對想要存取 HSM 叢集的內部部署伺服器使用 Direct Connect VPN。 AWS CloudHSM 安全群組和網路介面依賴 Amazon EC2。對於日誌監控或稽核,HSM 依賴 CloudTrail (AWS API 操作) 和 CloudWatch Logs 進行所有本機 HSM 裝置活動。
**問:誰會將更新套用至 AWS CloudHSM 用戶端和相關軟體程式庫?**
您負責套用程式庫和用戶端更新。您會想要監控 [CloudHSM 版本歷史記錄](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-history.html)頁面的版本,然後使用 [CloudHSM 用戶端升級](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-upgrade.html)套用更新。
**注意**
服務一律會自動套用 HSM AWS CloudHSM 設備的軟體修補程式。
# 使用 AMS SSP AWS CodeBuild 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS CodeBuild 的功能。 AWS CodeBuild 是一種全受管持續整合服務,可編譯原始程式碼、執行測試,並產生準備好部署的軟體套件。使用 CodeBuild,您便不必佈建、管理、擴展自己的組建伺服器。CodeBuild 會持續擴展並同時處理多個組建,所以您的組建不必排入佇列中等候。您可以利用預先封裝好的組建環境立即開始使用,或是建立自訂的組建環境來使用您自己的組建工具。使用 CodeBuild 時,將依據您使用運算資源的分鐘數計費。如需詳細資訊,請參閱 [AWS CodeBuild](https://aws.amazon.com/codebuild/)。
**注意**
若要使用單一 RFC 加入 CodeCommit、CodeBuild、CodeDeploy 和 CodePipeline,請提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型,並請求三種服務:CodeBuild、CodeDeploy 和 CodePipeline。然後,在您的帳戶中`aws_code_pipeline_service_role`佈建所有三個角色 `customer_codebuild_service_role``customer_codedeploy_service_role`、 和 。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
## AWS Managed Services 常見問答集中的 CodeBuild
常見問題和解答:
**問:如何請求存取 AMS 帳戶中 AWS CodeBuild 的 ?**
AWS CodeBuild 在您的 AMS 帳戶中使用 是兩個步驟:
1. `CodeBuild Service Role` 為建置程序佈建 ,以與 AWS S3 儲存貯體、Amazon CloudWatch 和 Log 群組協調
1. 請求存取 CodeBuild 主控台
您可以向 Management \$1 AWS service \$1 Self-visioned service \$1 Add change type (ct-1w8z66n899dct) 提交 RFC,請求在您的 AMS 帳戶中設定兩者。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問: AWS CodeBuild 在我的 AMS 帳戶中使用 有哪些限制?**
對於 AWS CodeBuild 主控台管理員存取,許可在資源層級受到限制;例如,CloudWatch 動作在特定資源上受到限制,且`iam:PassRole`許可受到控制。
**問:在我的 AMS 帳戶中使用 CodeBuild 的先決條件或相依性是什麼?**
如果定義的 AWS CodeBuild 服務角色需要額外的 IAM 許可,請透過 AMS 服務請求請求它們。
# 使用 AMS SSP AWS CodeCommit 在您的 AMS 帳戶中佈建
**注意**
AWS 自 2024 年 7 月 25 日起 AWS CodeCommit, 已關閉新客戶對 的存取權。 AWS CodeCommit 現有客戶可以繼續如常使用服務。 AWS 會繼續投資 的安全性、可用性和效能改善 AWS CodeCommit,但我們不打算推出新功能。
若要將 AWS CodeCommit Git 儲存庫遷移至其他 Git 供應商,請聯絡您的雲端架構師 (CA) 以取得指引。如需遷移 Git 儲存庫的詳細資訊,請參閱[如何將 AWS CodeCommit 儲存庫遷移至另一個 Git 供應商](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider/)。
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS CodeCommit 的功能。 AWS CodeCommit 是一種全受管[來源控制](https://aws.amazon.com/devops/source-control/)服務,可託管安全的 Git 型儲存庫。它可協助團隊在安全且高度可擴展的生態系統中協作程式碼。CodeCommit 無需操作您自己的來源控制系統或擔心擴展其基礎設施。您可以使用 CodeCommit 安全地存放從原始程式碼到二進位檔的任何內容,並與您現有的 Git 工具無縫搭配使用。如需詳細資訊,請參閱 [AWS CodeCommit](https://aws.amazon.com/codecommit/)。
**注意**
若要使用單一 RFC 加入 CodeCommit、CodeBuild、CodeDeploy 和 CodePipeline,請提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型,並請求三種服務:CodeBuild、CodeDeploy 和 CodePipeline。然後,在您的帳戶中`aws_code_pipeline_service_role`佈建所有三個角色 `customer_codebuild_service_role``customer_codedeploy_service_role`、 和 。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
## AWS Managed Services 常見問答集中的 CodeCommit
**問:如何請求存取 AMS 帳戶中的 CodeCommit?**
AWS CodeCommit 主控台和資料存取角色可以透過提交兩個 AWS 服務 RFCs、主控台存取和資料存取來請求:
+ 透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC AWS CodeCommit 來請求存取 。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_codecommit_console_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
對於指定 S3 資料來源 (強制性)、輸出儲存貯體 (強制性) 和 KMS (選用) 的每個資料來源,資料存取 (例如訓練和實體清單) 需要單獨的 CTs。只要所有資料來源都已授予存取角色, AWS CodeCommit 工作建立就沒有限制。若要請求資料存取,請使用 管理 \$1 其他 \$1 其他 \$1 建立 (ct-1e1xtak34nx76) 提交 RFC。
**問: AWS CodeCommit 在我的 AMS 帳戶中使用 有哪些限制?**
CodeCommit 上的觸發功能會因為建立 SNS 主題的相關權限而停用。針對 CodeCommit 的直接驗證受到限制,使用者應該使用登入資料協助程式進行驗證。有些 KMS 命令也會受到限制:`kms:Encrypt`、`kms:Decrypt`、`kms:ReEncrypt`、`kms:GenerateDataKeyWithoutPlaintext`、 `kms:GenereteDataKey`和 `kms:DescribeKey`。
**問: AWS CodeCommit 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
如果 S3 儲存貯體使用 KMS 金鑰加密,則需要 S3 和 KMS 才能使用 AWS CodeCommit。
# 使用 AMS SSP AWS CodeDeploy 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS CodeDeploy 的功能。 AWS CodeDeploy 是一種全受管部署服務,可將軟體部署自動化至各種運算服務,例如 Amazon EC2 AWS Fargate AWS Lambda和您的內部部署伺服器。 AWS CodeDeploy 可協助您快速發行新功能,協助您避免在應用程式部署期間停機,並處理更新應用程式的複雜性。您可以使用 AWS CodeDeploy 來自動化軟體部署,無需進行容易出錯的手動操作。服務會擴展以符合您的部署需求。如需詳細資訊,請參閱 [AWS CodeDeploy](https://aws.amazon.com/codedeploy/)。
**注意**
若要使用單一 RFC 加入 CodeCommit、CodeBuild、CodeDeploy 和 CodePipeline,請提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型,並請求三種服務:CodeBuild、CodeDeploy 和 CodePipeline。然後,在您的帳戶中`aws_code_pipeline_service_role`佈建所有三個角色 `customer_codebuild_service_role``customer_codedeploy_service_role`、 和 。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
## AWS Managed Services 常見問答集中的 CodeDeploy
**問:如何請求存取 AMS 帳戶中的 CodeDeploy?**
透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 CodeDeploy。此 RFC 會將下列 IAM 角色佈建至您的帳戶: `customer_codedeploy_console_role`和 `customer_codedeploy_service_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入`customer_codedeploy_console_role`角色。
**問:在我的 AMS 帳戶中使用 CodeDeploy 有哪些限制?**
目前我們僅支援 Compute Platform as — Amazon EC2/內部部署。不支援藍/綠部署。
**問:在我的 AMS 帳戶中使用 CodeDeploy 的先決條件或相依性是什麼?**
在您的 AMS 帳戶中使用 CodeDeploy 沒有先決條件或相依性。
# 使用 AMS SSP AWS CodePipeline 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS CodePipeline 的功能。 AWS CodePipeline 是一種全受管[持續交付](https://aws.amazon.com/devops/continuous-delivery/)服務,可協助您自動化發行管道,以實現快速可靠的應用程式和基礎設施更新。根據您定義的發行模型,CodePipeline 可以自動在每次程式碼變更時建置、測試和部署程式碼。這可讓您快速且可靠地交付功能和更新。您可以輕鬆地 AWS CodePipeline 與第三方服務整合,例如 GitHub 或您自己的自訂外掛程式。使用 時 AWS CodePipeline,您只需支付使用量的費用。沒有預付費用,也無需長期承諾。如需詳細資訊,請參閱 [AWS CodePipeline](https://aws.amazon.com/codepipeline/)。
**注意**
若要使用單一 RFC 加入 CodeCommit、CodeBuild、CodeDeploy 和 CodePipeline,請提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型,並請求三種服務:CodeBuild、CodeDeploy 和 CodePipeline。然後,在您的帳戶中`aws_code_pipeline_service_role`佈建所有三個角色 `customer_codebuild_service_role``customer_codedeploy_service_role`、 和 。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
AMS 中的 CodePipeline 不支援來源階段的「Amazon CloudWatch Events」,因為它需要更高的許可才能建立服務角色和政策,這會略過最低權限模型和 AMS 變更管理程序。
## AWS Managed Services 常見問答集中的 CodePipeline
**問:如何請求存取 AMS 帳戶中的 CodePipeline?**
透過為`customer_code_pipeline_console_role`相關帳戶中的 提交服務請求,請求存取 CodePipeline。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
目前,AMS Operations 也會在您的帳戶中部署此服務角色:`aws_code_pipeline_service_role_policy`。
**問:在我的 AMS 帳戶中使用 CodePipeline 有哪些限制?**
是。CodePipeline 功能、階段和提供者僅限於下列項目:
1. 部署階段:僅限 Amazon S3,以及 AWS CodeDeploy
1. 來源階段:僅限 Amazon S3 AWS CodeCommit、BitBucket 和 GitHub
1. 組建階段:僅限 AWS CodeBuild和 Jenkins
1. 核准階段:僅限 Amazon SNS
1. 測試階段:僅限 Jenkins AWS CodeBuild、BlazeMeter、Ghost Inspector UI 測試、Micro Focus StormRunner Load 和 Runscope API 監控
1. 調用階段:僅限 Step Functions 和 Lambda
**注意**
AMS Operations 將在您的帳戶`customer_code_pipeline_lambda_policy`中部署;它必須與 Lambda 執行角色連接,以用於 Lambda 調用階段。請提供您要新增此政策的 Lambda 服務/執行角色名稱。如果沒有自訂 Lambda 服務/執行角色,AMS 將建立一個名為 的新角色`customer_code_pipeline_lambda_execution_role`,這會是 `customer_lambda_basic_execution_role`與 的複本`customer_code_pipeline_lambda_policy`。
**問:在我的 AMS 帳戶中使用 CodePipeline 的先決條件或相依性是什麼?**
AWS 支援的 服務, AWS CodeCommit AWS CodeBuild AWS CodeDeploy 必須在啟動 CodePipeline 之前或同時啟動。
# 使用 AMS SSP AWS Compute Optimizer 在您的 AMS 帳戶中佈建
使用 AMS 自助式服務佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Compute Optimizer 的功能。 AWS Compute Optimizer 建議工作負載的最佳 AWS 運算資源,以使用機器學習分析歷史使用率指標來降低成本並改善效能。過度佈建運算 (Amazon EC2 和 ASGs) 可能會導致不必要的基礎設施成本,而佈建不足的運算可能會導致應用程式效能不佳。Compute Optimizer 可協助您根據您的使用率資料,選擇最佳的 Amazon EC2 執行個體類型,包括屬於 Amazon EC2 Auto Scaling 群組的執行個體類型。如需詳細資訊,請參閱 [AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)。
## AWS Managed Services 常見問答集中的 Compute Optimizer
**問:如何請求存取 AMS 帳戶中的 Compute Optimizer?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_compute_optimizer_readonly_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Compute Optimizer 有哪些限制?**
沒有限制。完整功能 AWS Compute Optimizer 可在您的 AMS 帳戶中使用。
**問:在我的 AMS 帳戶中使用 Compute Optimizer 的先決條件或相依性是什麼?**
+ 您必須提交 RFC (管理 \$1 其他 \$1 其他 \$1 更新),授權 AMS Ops 在帳戶中啟用服務。在部署期間,會建立服務連結角色 (SLR),以允許指標收集和產生報告。SLR 標示為「AWSServiceRoleForComputeOptimizer」。如需詳細資訊,請參閱[使用 的服務連結角色 AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/using-service-linked-roles.html)
+ 必須為下列指標啟用 CloudWatch 指標:
+ **CPU 使用率**:執行個體上使用的已配置 Amazon EC2 運算單位百分比。此指標識別在所選執行個體上執行應用程式所需的處理能力。
+ **記憶體使用率**:在取樣期間以某種方式使用的記憶體量。此指標識別在所選執行個體上執行應用程式所需的記憶體。記憶體使用率只會針對已安裝統一 CloudWatch 代理程式的資源進行分析。如需詳細資訊,請參閱使用 CloudWatch Agent 啟用記憶體使用率 (第 10 頁)。
+ **網路傳入**:執行個體在所有網路界面上接收的位元組數。此指標可識別傳入至單一執行個體的網路流量。
+ **網路輸出**:執行個體在所有網路界面上傳送的位元組數。此指標可識別來自單一執行個體的傳出網路流量。
+ **本機磁碟輸入/輸出 (I/O)**:本機磁碟的輸入/輸出操作數目。此指標可識別執行個體根磁碟區的效能
# 使用 AMS SSP AWS DataSync 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS DataSync 的功能。 會在內部部署儲存體與 Amazon S3、Amazon Elastic File System (Amazon Elastic File System) 或 Amazon FSx 之間線上 AWS DataSync 移動大量資料。與資料傳輸相關的手動任務可能會降低遷移速度和 IT 操作的負擔。DataSync 消除或自動處理許多這些任務,包括編寫複製任務指令碼、排程和監控傳輸、驗證資料,以及最佳化網路使用率。DataSync 軟體代理程式會連線至您的網路檔案系統 (NFS) 和伺服器訊息區塊 (SMB) 儲存體,因此您不需要修改應用程式。DataSync 可以透過網際網路或 AWS Direct Connect 連結,以比開放原始碼工具快 10 倍的速度傳輸數百 TB 和數百萬個檔案。您可以使用 DataSync 將作用中資料集或封存遷移至 AWS、將資料傳輸至雲端以進行及時分析和處理,或將資料複寫至 AWS 以進行業務連續性。
如需詳細資訊,請參閱 [AWS DataSync](https://aws.amazon.com/datasync/)。
## AWS Managed Services 常見問答集中的 DataSync
**問:如何請求存取 AMS 帳戶中的 DataSync?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_datasync_console_role`。
在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
用於串流任務日誌的 CloudWatch 日誌群組是 "/aws/datasync"。
**問:在我的 AMS 帳戶中使用 DataSync 有哪些限制?**
完整功能 AWS DataSync 可在您的 AMS 帳戶中使用。
**問:在我的 AMS 帳戶中使用 DataSync 的先決條件或相依性是什麼?**
+ 與將使用 DataSync 服務角色 執行之 DataSync 任務相關聯的所有 S3 儲存貯體都需要 Amazon S3 ARNs (DataSync Resource Name)`customer_datasync_service_role`。
+ 在使用 VPC 端點之前,必須使用 RFC 請求 DataSync 代理程式的 VPC 端點和安全群組與管理 \$1 其他 \$1 其他 \$1 建立 (ct-1e1xtak34nx76) 變更類型。
+ AWS DataSync 代理程式會以設備身分在 AMS 中執行。 AWS DataSync 代理程式由 服務修補和更新;如需詳細資訊,請參閱[AWS DataSync 常見問答集](https://aws.amazon.com/datasync/faqs/)。
+ 若要啟動 AWS DataSync 代理程式,請使用 Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76) 變更類型提交 RFC,請求部署代理程式。提供 AWS DataSync Amazon EC2 AMI ID、執行個體類型、子網路、安全群組;並參考現有的 Amazon EC2 金鑰對或請求建立新的金鑰對。
**注意**
AMS 代表客戶手動佈建 AWS DataSync 代理程式,不需要在 AWS DataSync Amazon EC2 AMI 上進行 WIGS 擷取程序。
# 使用 AMS SSP AWS Device Farm 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Device Farm 的功能。 AWS Device Farm 是一種應用程式測試服務,可讓您透過廣泛的桌面瀏覽器和真實行動裝置測試 Web 和行動應用程式,藉此改善其品質;無需佈建和管理任何測試基礎設施。此服務可讓您在多個桌面瀏覽器或真實裝置上同時執行測試,以加速測試套件的執行,並產生影片和日誌,協助您快速識別應用程式的問題。
如需詳細資訊,請參閱 [AWS Device Farm](https://aws.amazon.com/device-farm/)。
## AWS Device Farm 在 AWS Managed Services 常見問答集中
**問:如何請求存取 AMS 帳戶中 AWS Device Farm 的 ?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_devicefarm_role`。
在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問: AWS Device Farm 在我的 AMS 帳戶中使用 有哪些限制?**
除了在 'Name' 標籤中使用 AMS 命名空間之外,還提供 AWS Device Farm 服務的完整存取權。
**問: AWS Device Farm 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
無。
# 使用 AMS SSP AWS 彈性災難復原 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS 彈性災難復原 的功能。 使用經濟實惠的儲存、最少的運算和point-in-time復原,透過快速、可靠的內部部署和雲端應用程式復原,將停機時間和資料遺失 AWS 彈性災難復原 降至最低。當您使用 AWS 彈性災難復原 複寫在支援的作業系統上執行的內部部署或雲端型應用程式時,可以提高 IT 彈性。使用 AWS 管理主控台 來設定複寫和啟動設定、監控資料複寫,以及啟動執行個體以進行演練或復原。
如需詳細資訊,請參閱 [AWS 彈性災難復原](https://aws.amazon.com/disaster-recovery/)。
## AWS 彈性災難復原 在 AWS Managed Services 常見問答集中
**問:如何請求存取 AMS 帳戶中 AWS 彈性災難復原 的 ?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_drs_console_role`。
在帳戶中佈建之後,您必須在聯合解決方案中加入該角色。
**問: AWS 彈性災難復原 在我的 AMS 帳戶中使用 有哪些限制?**
AWS 彈性災難復原 在您的 AMS 帳戶中沒有使用 的限制。
**問: AWS 彈性災難復原 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
+ 存取主控台角色之後,您必須初始化 Elastic Disaster Recovery 服務,以在帳戶中建立所需的 IAM 角色。
+ 您必須提交變更類型 管理 \$1 應用程式 \$1 IAM 執行個體描述檔 \$1 建立 (受管自動化) 變更類型 ct-0ixp4ch2tiu04 RFC,才能建立`customer-mc-ec2-instance-profile`執行個體描述檔的複製並連接`AWSElasticDisasterRecoveryEc2InstancePolicy`政策。您必須指定要連接新政策的機器。
+ 如果執行個體未使用預設執行個體描述檔,則 AMS 可以透過自動化`AWSElasticDisasterRecoveryEc2InstancePolicy`連接。
+ 您必須使用客戶擁有的 KMS 金鑰進行跨帳戶復原。來源帳戶的 KMS 金鑰必須遵循政策更新,以允許目標帳戶存取。如需詳細資訊,請參閱[與目標帳戶共用 EBS 加密金鑰](https://docs.aws.amazon.com/drs/latest/userguide/multi-account.html#multi-account-ebs)。
+ 必須更新 KMS 金鑰政策,以便在您不想切換角色以檢視時允許 `customer_drs_console_role` 檢視政策。
+ 對於跨帳戶、跨區域災難復原,AMS 必須將來源和目標帳戶設定為信任帳戶,並透過此帳戶部署容[錯回復和AWS 適當大小的角色](https://docs.aws.amazon.com/drs/latest/userguide/trusted-accounts-failback-role.html) CloudFormation。
# 使用 AMS SSP AWS Elemental MediaConvert 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Elemental MediaConvert 的功能。 AWS Elemental MediaConvert 是一種具有廣播級功能的檔案型視訊轉碼服務。它可讓您建立video-on-demand(VOD) 內容,以進行大規模廣播和多螢幕交付。此服務結合了進階視訊和音訊功能,以及簡單的 Web 服務界面和pay-as-you-go定價。透過 AWS Elemental MediaConvert,您可以專注於提供令人信服的媒體體驗,而不必擔心建置和操作您自己的影片處理基礎設施的複雜性。
如需詳細資訊,請參閱 [AWS Elemental MediaConvert](https://aws.amazon.com/mediaconvert/)。
## AWS Managed Services 常見問答集中的 MediaConvert
**問:如何請求存取 AMS 帳戶中的 MediaConvert?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_mediaconvert_author_role`。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
`customer_MediaConvert_Default_Role`MediaConvert 將使用第二個角色 來讀取來源 S3 儲存貯體並將輸出寫入目的地 S3 儲存貯體,並在您需要數位版權管理 (DRM) 時叫用 API 閘道。
**問:在我的 AMS 帳戶中使用 MediaConvert 有哪些限制?**
在 AMS 中使用 MediaConvert 沒有限制。
**問:在我的 AMS 帳戶中使用 MediaConvert 的先決條件或相依性是什麼?**
在您的 AMS 帳戶中使用 MediaConvert 沒有先決條件或相依性。
# 使用 AMS SSP AWS Elemental MediaLive 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Elemental MediaLive 的功能。 AWS Elemental MediaLive 是一種廣播級即時視訊處理服務。它可讓您建立高品質的影片串流,以交付至廣播電視和網際網路連線的多螢幕裝置,例如連接的TVs、平板電腦、智慧型手機和機上盒。此服務的運作方式是即時編碼您的即時視訊串流、取得較大的即時視訊來源,並將其壓縮為較小的版本,以分發給您的檢視器。使用 AWS Elemental MediaLive,您可以輕鬆地為即時事件和全年無休頻道設定串流,具有進階廣播功能、高可用性和pay-as-you-go定價。 AWS Elemental MediaLive 可讓您專注於為觀眾建立令人信服的即時視訊體驗,而不需要建置和操作廣播級視訊處理基礎設施的複雜性。
如需詳細資訊,請參閱 [AWS Elemental MediaLive](https://aws.amazon.com/medialive/)。
## AWS Managed Services 常見問答集中的 MediaLive
**問:如何請求存取 AMS 帳戶中的 MediaLive?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_medialive_author_role`。
作為此 RFC 的一部分,第二個角色會部署到您的帳戶;`customer_medialive_service_role`此角色可指派給您的 Media Live 頻道和輸入,以與其他 服務互動,例如 Amazon S3、MediaStore 和 CloudWatch Logs。
在帳戶中佈建角色之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 MediaLive 有哪些限制?**
在 AMS 中使用 MediaLive 沒有限制。
**問:在我的 AMS 帳戶中使用 MediaLive 的先決條件或相依性是什麼?**
在您的 AMS 帳戶中使用 MediaLive 沒有先決條件或相依性。
# 使用 AMS SSP AWS Elemental MediaPackage 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Elemental MediaPackage 的功能。 AWS Elemental MediaPackage 可靠地準備和保護您的視訊,以便透過網際網路交付。從單一視訊輸入, AWS Elemental MediaPackage 會建立格式化的視訊串流,以在連接的TVs、行動電話、電腦、平板電腦和遊戲主控台上播放。它可以輕鬆為瀏覽者實作熱門的影片功能 (開始、暫停、倒轉等),就像 DVRs上常見的功能一樣。 AWS Elemental MediaPackage 也可以使用數位版權管理 (DRM) 自動保護您的內容。 會自動 AWS Elemental MediaPackage 擴展以回應載入,因此您的瀏覽者將永遠獲得絕佳的體驗,而無需事先準確預測您需要的容量。
如需詳細資訊,請參閱 [AWS Elemental MediaPackage](https://aws.amazon.com/mediapackage/)。
## AWS Managed Services 常見問答集中的 MediaPackage
**問:如何請求存取 AMS 帳戶中 AWS Elemental MediaPackage 的 ?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_mediapackage_author_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
將提供第二個角色 `customer_mediapackage_service_role`,可指派給您的 Media Live 頻道和輸入,以與其他 服務互動,例如 S3 和 Secrets Manager。
**問:在我的 AMS 帳戶中使用 MediaPackage 有哪些限制?**
在 AMS 中使用 MediaPackage 沒有限制。
**問:在我的 AMS 帳戶中使用 MediaPackage 有哪些先決條件或相依性?**
在您的 AMS 帳戶中使用 MediaPackage 沒有先決條件或相依性。
# 使用 AMS SSP AWS Elemental MediaStore 在您的 AMS 帳戶中佈建
**注意**
在仔細考慮之後, AWS 決定停止 MediaStore,自 2025 年 11 月 13 日起生效。如果您是 MediaStore 的作用中客戶,您可以正常使用 MediaStore,直到 2025 年 11 月 13 日服務支援結束為止。在此日期之後,您將無法再使用 MediaStore 或此服務提供的任何功能。
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Elemental MediaStore 的功能。 AWS Elemental MediaStore 是一種針對媒體最佳化的 AWS 儲存服務。它為您提供提供即時串流影片內容所需的效能、一致性和低延遲。 AWS Elemental MediaStore 會做為影片工作流程中的原始儲存體。其高效能功能可滿足最嚴苛媒體交付工作負載的需求,並結合長期、經濟實惠的儲存體。如需詳細資訊,請參閱 [AWS Elemental MediaStore](https://aws.amazon.com/mediastore/)。
## AWS Managed Services 中的 MediaStore 常見問答集
**問:如何請求存取 AMS 帳戶中的 MediaStore?**
透過使用 Management \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 MediaStore。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_mediastore_author_role`。作為此 RFC 的一部分,第二個角色會部署到您的帳戶;如果您選擇啟用該功能,則 MediaStore 服務會使用該`MediaStoreAccessLogs`角色來記錄 CloudWatch 中的活動。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
目前,AMS Operations 也會在您的帳戶中部署此服務角色:`aws_code_pipeline_service_role_policy`。
**問:在我的 AMS 帳戶中使用 MediaStore 有哪些限制?**
在 AMS 中使用 MediaStore 沒有限制。
**問:在我的 AMS 帳戶中使用 MediaStore 有哪些先決條件或相依性?**
在您的 AMS 帳戶中使用 MediaStore 沒有先決條件或相依性。
# 使用 AMS SSP AWS Elemental MediaTailor 在您的 AMS 帳戶中佈建
使用 AMS 自助式服務佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Elemental MediaTailor 的功能。 AWS Elemental MediaTailor lets 影片提供者會將個別目標式廣告插入其影片串流,而不會犧牲廣播層級quality-of-service。使用 AWS Elemental MediaTailor時,即時或隨需影片的瀏覽者都會收到串流,將您的內容與個人化的廣告結合在一起。但與其他個人化廣告解決方案不同, AWS Elemental MediaTailor 您的整個串流 - 影片和廣告 - 都會提供廣播級影片品質,以改善觀眾的體驗。 會根據用戶端和伺服器端廣告交付指標 AWS Elemental MediaTailor 提供自動化報告,以準確測量廣告曝光和觀眾行為。您可以使用 輕鬆獲利非預期的高需求檢視事件,無需預付成本 AWS Elemental MediaTailor。它還可以提高廣告交付率,協助您從每個影片中獲利更多,並適用於更廣泛的內容交付網路、廣告決策伺服器和用戶端裝置。
如需詳細資訊,請參閱 [AWS Elemental MediaTailor](https://aws.amazon.com/mediatailor/)。
## AWS Managed Services 常見問答集中的 MediaTailor
**問:如何請求存取 AMS 帳戶中的 MediaTailor?**
透過使用 Management \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 MediaTailor。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer-mediatailor-role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 MediaTailor 有哪些限制?**
在 AMS 中使用 MediaTailor 沒有限制。
**問:在我的 AMS 帳戶中使用 MediaTailor 的先決條件或相依性是什麼?**
在您的 AMS 帳戶中使用 MediaTailor 沒有先決條件或相依性。
# 使用 AMS SSP AWS Global Accelerator 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Global Accelerator 功能。Global Accelerator 是一種網路層服務,您可以在其中建立加速器,以改善全球受眾使用的網際網路應用程式的可用性和效能。若要進一步了解,請參閱 [Global Accelerator](https://aws.amazon.com/global-accelerator/)。
## AWS Managed Services 中的 Global Accelerator 常見問答集
常見問題和解答:
**問:如何請求在我的 AMS 帳戶中設定 Global Accelerator?**
透過提交 AWS 服務 RFC 請求存取權 (管理 \$1 AWS 服務 \$1 自助佈建服務)。透過此 RFC,會在您的帳戶中佈建下列 IAM 角色:`customer_global_accelerator_console_role`。在帳戶中佈建後,您必須在聯合解決方案中加入主控台角色。
**問:在我的 AMS 帳戶中使用 Global Accelerator 有哪些限制?**
Global Accelerator 是一種全域服務,支援多個 AWS 區域中的端點,列於[AWS 區域資料表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)中。
**問:在我的 AMS 帳戶中使用 Global Accelerator 有哪些先決條件或相依性?**
當您設定加速器與 Global Accelerator 時,您可以將靜態 IP 地址與一或多個 AWS 區域中的區域端點建立關聯。對於標準加速器,端點為 Network Load Balancer、Application Load Balancer、Amazon EC2 執行個體或彈性 IP 地址。對於自訂路由加速器,端點是具有一或多個 EC2 執行個體的虛擬私有雲端 (VPC) 子網路。
# 使用 AMS SSP AWS Glue 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Glue 的功能。 AWS Glue 是一種全受管擷取、轉換和載入 (ETL) 服務,可協助您準備和載入資料以供分析。您可以在 中按幾下滑鼠來建立和執行 ETL 任務 AWS 管理主控台。您可以指向存放在 上的 AWS Glue 資料 AWS,並 AWS Glue 探索您的資料,並將相關聯的中繼資料 (例如資料表定義和結構描述) 存放在 中 AWS Glue Data Catalog。編製目錄後,您的資料即可立即搜尋、查詢,並可用於 ETL 動作。如需詳細資訊,請參閱 [AWS Glue](https://aws.amazon.com/glue/)。
## AWS Glue 在 AWS Managed Services 常見問答集中
常見問題和解答:
**問:如何 AWS Glue 請求在我的 AMS 帳戶中設定 ?**
透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 提交 RFC AWS Glue 來請求存取 。此 RFC 會將下列 IAM 角色佈建至您的帳戶:
+ `customer_glue_console_role`
+ `customer_glue_service_role`
上述角色包括下列連接的政策:
+ `customer_glue_secrets_manager_policy`
+ `customer_glue_deny_policy`
在帳戶中佈建角色之後,您必須在聯合解決方案中加入這些角色。
若要存取爬蟲程式、任務和開發端點 (特定使用案例所需的角色),請使用 部署 \$1 進階堆疊元件 \$1 Identity and Access Management (IAM) \$1 建立實體或政策 (ct-3dpd8mdd9jn1r) 提交 RFC。
**問: AWS Glue 在我的 AMS 帳戶中使用 有哪些限制?**
沒有限制。完整功能 AWS Glue 可在您的 AMS 帳戶中使用。對於您可以在其中撰寫和測試 ETL 指令碼的互動式環境,請在 AWS Glue Studio 上使用筆記本。 AWS Glue 互動式工作階段和任務筆記本是 的無伺服器功能 AWS Glue ,您可以在 中使用 AWS Glue 並使用 AWS Glue 服務角色。
**AWS Glue 2.0 之前:** AWS Glue 筆記本是非受管資源,可在 帳戶中啟動 Amazon EC2 執行個體。最佳實務是啟動您自己的 Amazon EC2 執行個體,並安裝支援筆記本環境和開發所需的軟體。如需詳細資訊,請參閱[教學課程:設定本機 Apache Zeppelin 筆記本來測試和偵錯 ETL 指令碼](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint-tutorial-local-notebook.html),以及[使用開發端點來開發指令碼](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint.html)。
**問: AWS Glue 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
AWS Glue 具有 Amazon S3、CloudWatch 和 CloudWatch Logs 的相依性。暫時性相依性會根據資料來源而有所不同,而其他服務 AWS Glue 功能可能會與之互動 (例如:Amazon Redshift、Amazon RDS、Athena)。
# 使用 AMS SSP AWS Lake Formation 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Lake Formation 的功能。 AWS Lake Formation 是一種可在幾天內輕鬆設定安全資料湖的服務。資料湖是一個集中式、經策管且安全的儲存庫,可用原始格式存放您的所有資料並準備進行分析。資料湖可讓您細分資料孤島,再結合不同類型的分析來取得洞察並指導得出更佳的商業決策。
使用 Lake Formation 建立資料湖,就跟定義資料來源、您想要套用哪些資料存取和安全政策一樣簡單。Lake Formation 之後有助於您從資料庫和物件儲存中收集和編製資料目錄、將資料移至新的 Amazon S3 資料湖、使用機器學習演算法清理和分類資料,以及安全存取敏感資料。您的使用者可以存取集中式資料目錄 (如需詳細資訊,請參閱[AWS Glue 常見問答集](https://aws.amazon.com/glue/faqs/#AWS_Glue_Data_Catalog/)),說明可用的資料集及其適當的使用方式。然後,您的使用者會利用這些資料集搭配其選擇的分析和機器學習服務,例如 [Amazon Redshift](https://aws.amazon.com/redshift/)、[Amazon Athena](https://aws.amazon.com/athena/) 和 (測試版) [Amazon EMR](https://aws.amazon.com/emr/) for Apache Spark。Lake Formation 以 中可用的功能為基礎[AWS Glue](https://aws.amazon.com/glue/)。
如需詳細資訊,請參閱 [AWS Lake Formation](https://aws.amazon.com/lake-formation/)。
## AWS Managed Services 中的 Lake Formation 常見問答集
**問:如何請求存取 AMS 帳戶中 AWS Lake Formation 的 ?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_lakeformation_data_analyst_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
此外,以下兩個角色是選用的:
+ `customer_lakeformation_admin_role`
+ `customer_lakeformation_workflow_role`
對於管理員許可,您可以選擇將角色加入`customer_lakeformation_admin_role`為相同 SSPS 變更類型 (ct-3qe6io8t6jtny) 的一部分。
如果您想要在 AWS Lake Formation 主控台中建立藍圖,您需要提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型,並明確新增 以部署 `customer_lakeformation_workflow_role`。在 RFC 中,如果建立藍圖時儲存貯體是來源,您必須提供 S3 儲存貯體名稱。如果藍圖類型為 Classic Load Balancer Logs 或 Application Load Balancer Logs AWS CloudTrail,則 S3 儲存貯體適用。
**問: AWS Lake Formation 在我的 AMS 帳戶中使用 有哪些限制?**
Lake Formation 的完整功能可在 AMS 中使用。
**問: AWS Lake Formation 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
Lake Formation 與 AWS Glue 服務整合,因此 AWS Glue 使用者只能存取具有 Lake Formation 許可的資料庫和資料表。此外, AWS Athena 和 Amazon Redshift 使用者只能查詢具有 Lake Formation 許可的 AWS Glue 資料庫和資料表。
# 使用 AMS SSP AWS Lambda 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Lambda 的功能。 AWS Lambda 無需佈建或管理伺服器即可執行程式碼。您只需為使用的運算時間付費,程式碼未執行時無需付費。使用 Lambda,您可以為幾乎任何類型的應用程式或後端服務執行程式碼,完全無需管理。 上傳您的程式碼,Lambda 會處理執行和擴展程式碼所需的一切,並提供高可用性。您可以將程式碼設定為自動從其他 AWS 服務觸發,或直接從任何 Web 或行動應用程式呼叫它。如需詳細資訊,請參閱 [AWS Lambda](https://aws.amazon.com/lambda/)。
## AWS Managed Services 常見問答集中的 Lambda
**問:如何請求存取 AMS 帳戶中 AWS Lambda 的 ?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶: `customer_lambda_admin_role`和 `customer_lambda_basic_execution_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問: AWS Lambda 在我的 AMS 帳戶中使用 有哪些限制?**
+ Lambda 函數旨在由事件來源調用。如需可做為 Lambda 事件來源的服務清單,請參閱[搭配使用 AWS Lambda 與其他 服務](https://docs.aws.amazon.com/lambda/latest/dg/lambda-services.html)。目前並非所有這些服務都可在 AMS 帳戶中使用。如果您需要無法使用的服務,請使用您的 AMS CSDM 來提交例外狀況。
+ 根據預設,AMS 會為您提供基本的 Lambda 啟動角色,其中包含 `AWSLambdaBasicExecutionRole`和 `AWSXrayWriteOnlyAccess`許可;如需詳細資訊,請參閱[AWS Lambda 啟動角色](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html)。如果您需要其他許可,例如能夠在 AMS VPC 中佈建 Lambda 函數,請使用 Management \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化)(ct-3qe6io8t6jtny) 變更類型提交 RFC。
**問: AWS Lambda 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
沒有先決條件或相依性可開始使用 AWS Lambda;不過,根據您的特定使用案例,您可能需要存取其他 AWS 服務來建立事件來源,或您的函數執行各種動作的額外許可。如果需要其他許可,請使用 Management \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) 變更類型 (ct-3qe6io8t6jtny) 提交 RFC。
**問:我需要做什麼才能在任何帳戶中執行 Lambda 函數?**
若要在核心帳戶中部署 Lambda 函數,請使用下列準則:
+ 確定 的 SSPS AWS Lambda 已加入。
+ 只要 AMS 資源受到保護且合規,AMS 責任就沒有禁止此部署的特定限制。
+ 如果您希望 AMS 建立 Lambda 函數,則必須先使用 提供的 SSPS 角色 AWS Lambda。然後,如果您仍希望 AMS 協助部署或支援 函數,請聯絡您的 CA 並開始超出範圍 (OOS) 程序。
# 使用 AMS SSP AWS License Manager 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS License Manager 的功能。 與 AWS 服務 AWS License Manager 整合,透過單一 AWS 帳戶簡化跨多個 AWS 帳戶、IT 目錄和內部部署的授權管理。 AWS License Manager 可讓管理員建立模擬其授權協議條款的自訂授權規則,然後在 Amazon EC2 執行個體啟動時強制執行這些規則。中的規則 AWS License Manager 可讓您透過實際停止執行個體啟動或通知管理員有關違規的情況來限制授權違規。如需詳細資訊,請參閱 [AWS License Manager](https://aws.amazon.com/license-manager/)。
## AWS Managed Services 常見問答集中的 License Manager
常見問題和解答:
**問:如何 AWS License Manager 請求在我的 AMS 帳戶中設定 ?**
透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC AWS License Manager 來請求存取 。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_license_manager_role`。在您的帳戶中佈建 License Manager IAM 角色後,您必須在聯合解決方案中加入該角色。
**問: AWS License Manager 在我的 AMS 帳戶中使用 有哪些限制?**
您可以將 AWS License Manager 規則與您擁有AMIs 建立關聯 (依「由我擁有」進行篩選)。如果您選擇強制執行與 AMI 的限制關聯 (例如: 只能支援此 AMI 的 100 個 vCPU) 並耗盡限制,則未來使用該 AMI 啟動會遭到封鎖,並傳回錯誤,指出「沒有可用的授權」。這是此服務的預期行為 (不允許授權耗盡)。如果您用盡限制,但需要再次啟動 AMI,則必須修改在 中設定的規則 AWS License Manager。
**問: AWS License Manager 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
AWS License Manager 您的 AMS 帳戶中沒有要使用的先決條件或相依性。
# 使用 AMS SSP AWS Migration Hub 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Migration Hub 的功能。 AWS Migration Hub 提供單一位置,可讓您追蹤跨多個 AWS 和 合作夥伴解決方案的應用程式遷移進度。使用 Migration Hub 可讓您選擇最符合您需求的 AWS 和 合作夥伴遷移工具,同時提供跨應用程式產品組合遷移狀態的可見性。Migration Hub 也為個別應用程式提供關鍵指標和進度,無論使用哪些工具來進行遷移。這可讓您快速取得所有遷移的進度更新、輕鬆識別和疑難排解任何問題,並減少遷移專案所花費的整體時間和精力。如需詳細資訊,請參閱 [AWS Migration Hub](https://aws.amazon.com/migration-hub/)。
## AWS Managed Services 常見問答集中的遷移中樞
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 Migration Hub?**
透過使用 Management \$1 AWS service \$1 Self-visioned service \$1 Add (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 Migration Hub。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_migrationhub_author_role`。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問:Migration Hub 有哪些限制?**
無。
**問:啟用 Migration Hub 的先決條件有哪些?**
在您的 AMS 帳戶中開始使用 Migration Hub 沒有先決條件。不過,在管理服務期間,可能需要 Migration Hub 以外的許可,例如將許可寫入 Amazon S3 以上傳伺服器資訊。
# 使用 AMS SSP AWS Outposts 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Outposts 的功能。 AWS Outposts 是一項全受管服務,可將 AWS 基礎設施、 AWS 服務、APIs 和工具延伸至幾乎所有資料中心、主機代管空間或內部部署設施,以獲得一致的混合體驗。 AWS Outposts 非常適合需要低延遲存取內部部署系統、本機資料處理或本機資料儲存的工作負載。如需詳細資訊,請參閱 [AWS Outposts](https://aws.amazon.com/outposts/)。
## AWS Outposts 在 AWS Managed Services 常見問答集中
常見問題和解答:
**問:如何 AWS Outposts 請求在我的 AMS 帳戶中設定 ?**
透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC AWS Outposts 來請求存取 。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_outposts_role`。在帳戶中佈建角色後,您必須在聯合解決方案中加入該角色。
**問: AWS Outposts 在我的 AMS 帳戶中使用 有哪些限制?**
AWS Outposts 在您的 AMS 帳戶中使用 沒有限制。
**問: AWS Outposts 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
AWS Outposts 您的 AMS 帳戶中沒有要使用的先決條件或相依性。
# 使用 AMS SSP AWS Resilience Hub 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Resilience Hub 的功能。 AWS Resilience Hub 可協助您主動準備和保護您的 AWS 應用程式免受中斷。Resilience Hub 提供彈性評估和驗證,整合到您的軟體開發生命週期中,以發現彈性弱點。Resilience Hub 可協助您預估應用程式是否可以符合復原時間目標 (RTO) 和復原點目標 (RPO) 目標,並協助在問題發佈到生產環境之前解決問題。在生產環境中部署 AWS 應用程式之後,您可以使用 Resilience Hub 繼續追蹤應用程式的彈性狀態。如果發生中斷,Resilience Hub 會傳送通知給操作員,以啟動相關聯的復原程序。
## AWS Resilience Hub 在 AWS Managed Services 常見問答集中
常見問題和解答:
**問:如何請求存取 AMS 帳戶中 AWS Resilience Hub 的 ?**
透過使用 Management \$1 AWS service \$1 Self-visioned Service \$1 Add (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 Resilience Hub。此 RFC 會將下列 IAM 角色和政策佈建至您的帳戶:
**IAM 角色**
+ `customer_resiliencehub_console_role`
+ `customer_resiliencehub_service_role`
**Policies**
+ `customer_resiliencehub_console_policy`
+ `customer_resiliencehub_service_policy`
在帳戶中佈建角色之後,您必須在聯合解決方案`customer_resiliencehub_console_role`中加入角色。
**問: AWS Resilience Hub 在我的 AMS 帳戶中使用 有哪些限制?**
沒有限制。您的 AMS 帳戶中提供 Resilience Hub 的完整功能。
**問: AWS Resilience Hub 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
在您的 AMS 帳戶中使用 Resilience Hub 沒有先決條件或相依性。
# 使用 AMS SSP AWS Secrets Manager 在您的 AMS 帳戶中佈建
使用 AMS 自助式服務佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Secrets Manager 的功能。 AWS Secrets Manager 可協助您保護存取應用程式、服務和 IT 資源所需的秘密。此服務可讓您在整個生命週期中輕鬆輪換、管理和擷取資料庫登入資料、API 金鑰和其他秘密。使用者和應用程式透過呼叫 Secrets Manager APIs 來擷取秘密,無需以純文字硬式編碼敏感資訊。Secrets Manager 提供秘密輪換與 Amazon RDS、Amazon Redshift 和 Amazon DocumentDB 的內建整合。此外,此服務可延伸至其他類型的秘密,包括 API 金鑰和 OAuth 權杖。如需詳細資訊,請參閱 [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/)。
**注意**
根據預設,AMS 運算子可以在 中存取使用帳戶預設 AWS KMS 金鑰 AWS Secrets Manager (CMK) 加密的秘密。如果您希望 AMS Operations 無法存取您的秘密,請使用自訂 CMK,並使用 AWS Key Management Service (AWS KMS) 金鑰政策來定義適用於存放在秘密中資料的許可。
## AWS Managed Services 常見問答集中的 Secrets Manager
**問:如何請求存取 AMS 帳戶中 AWS Secrets Manager 的 ?**
透過使用 Management \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-3qe6io8t6jtny) 變更類型提交 RFC 來請求 Secrets Manager 的存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶: `customer_secrets_manager_console_role`和 `customer-rotate-secrets-lambda-role`。`customer_secrets_manager_console_role` 用作佈建和管理秘密的管理員角色,並`customer-rotate-secrets-lambda-role`用作輪換秘密的 Lambda 函數的 Lambda 執行角色。在帳戶中佈建之後,您必須在聯合解決方案中加入`customer_secrets_manager_console_role`角色。
**問: AWS Secrets Manager 在我的 AMS 帳戶中使用 有哪些限制?**
的完整功能 AWS Secrets Manager 可在您的 AMS 帳戶中使用,以及秘密的自動輪換功能。不過,請注意,不支援使用「建立新的 Lambda 函數以執行輪換」來設定輪換,因為它需要更高的許可才能建立 CloudFormation 堆疊 (IAM 角色和 Lambda 函數建立),這會略過變更管理程序。AMS Advanced 僅支援「使用現有的 Lambda 函數來執行輪換」,您可以在其中管理 Lambda 函數,以使用 AWS Lambda SSPS Admin 角色輪換秘密。AMS Advanced 不會建立或管理 Lambda 來輪換秘密。
**問: AWS Secrets Manager 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
下列命名空間保留供 AMS 使用,無法做為直接存取的一部分使用 AWS Secrets Manager:
+ arn:aws:secretsmanager:\$1:\$1:secret:ams-shared/\$1
+ arn:aws:secretsmanager:\$1:\$1:secret:customer-shared/\$1
+ arn:aws:secretsmanager:\$1:\$1:secret:ams/\$1
## 使用 Secrets Manager (AMS SSPS) 共用金鑰
在 RFC、服務請求或事件報告的純文字中與 AMS 共用秘密會導致資訊揭露事件,而 AMS 會修訂您重新產生金鑰的案例和請求中的資訊。
您可以在此命名空間 下使用 [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/)(Secrets Manager)`customer-shared`。
![\[Secrets Manager 工作流程。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/secretsManager.png)
### 使用 Secrets Manager 共用金鑰常見問答集
**問:必須使用 Secrets Manager 共用哪種類型的秘密?**
幾個範例是用於建立 VPN 的預先共用金鑰、身分驗證金鑰 (IAM、SSH)、授權金鑰和密碼等機密金鑰。
**問:如何使用 Secrets Manager 與 AMS 共用金鑰?**
1. 使用您的聯合存取和適當的角色登入 AWS 管理主控台:
適用於 SALZ 的 `Customer_ReadOnly_Role`
對於 MALZ,`AWSManagedServicesChangeManagementRole`。
1. 導覽至 [AWS Secrets Manager 主控台](https://console.aws.amazon.com/secretsmanager/home),然後按一下**存放新的秘密**。
1. 選取 **Other type of secrets** (其他機密類型)。
1. 以純文字形式輸入秘密值,並使用預設 KMS 加密。按一下 **Next (下一步)**。
1. 輸入秘密名稱和描述,名稱一律以**客戶共用/** 開頭。例如**,Customer-shared/mykey2022**。按一下 **Next (下一步)**。
1. 保持停用自動輪換,按一下**下一步**。
1. 檢閱並按一下**儲存**以儲存秘密。
1. 透過服務請求、RFC 或事件報告以秘密名稱回覆我們,以便我們識別和擷取秘密。
**問:使用 Secrets Manager 共用金鑰需要哪些許可?**
**SALZ**:尋找`customer_secrets_manager_shared_policy`受管 IAM 政策,並確認政策文件與以下建立步驟中附加的政策文件相同。確認政策已連接至下列 IAM 角色:`Customer_ReadOnly_Role`。
**MALZ**:驗證 `AMSSecretsManagerSharedPolicy`已連接至角色,該`AWSManagedServicesChangeManagementRole`角色可讓您在`ams-shared`命名空間中執行 `GetSecretValue`動作。
範例:
```
{
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
],
"Effect": "Allow",
"Sid": "AllowAccessToSharedNameSpaces"
}
```
**注意**
當您新增 AWS Secrets Manager 做為自助式佈建服務時,會授予必要的許可。
# 使用 AMS SSP AWS Security Hub CSPM 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Security Hub CSPM 的功能。 AWS Security Hub CSPM 為您提供安全狀態的全方位檢視, AWS 以及安全產業標準和最佳實務的合規性。Security Hub CSPM 會集中並排定跨 AWS 帳戶、服務和支援的第三方合作夥伴的安全性和合規調查結果的優先順序,協助您分析安全趨勢,並識別最高優先順序的安全問題。如需詳細資訊,請參閱 [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/)。
## AWS Managed Services 常見問答集中的 Security Hub CSPM
**問:如何請求存取 AMS 帳戶中 AWS Security Hub CSPM 的 ?**
透過使用 Management \$1 AWS 服務 \$1 自行佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC,請求存取 Security Hub CSPM。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_securityhub_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 Security Hub CSPM 有哪些限制?**
封存功能已被記錄為潛在的安全和操作風險,並已被限制為自我佈建服務安全角色的一部分。
**問: AWS Security Hub CSPM 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
AWS Security Hub CSPM 您的 AMS 帳戶中沒有要使用的先決條件或相依性。
# 使用 AMS SSP AWS Service Catalog AppRegistry 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 AppRegistry 功能。AppRegistry 可從中央位置啟用應用程式搜尋、報告和管理動作。建置器很少在單一 AWS 帳戶中建立應用程式。它們通常會依生命週期階段區隔應用程式資源,例如開發、測試和生產。AppRegistry 可讓您將 AWS 定義帳戶中的所有資源集合分組和檢視。
透過 AppRegistry,您可以存放 AWS 應用程式、與應用程式相關聯的資源集合,以及應用程式屬性群組。若要進一步了解,請參閱[什麼是 AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/arguide/intro-app-registry.html)。
## 常見問答集:在 AMS AWS Service Catalog AppRegistry 中
**問:如何請求存取 AMS 帳戶中 AWS Service Catalog AppRegistry 的 ?**
透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (受管自動化) (ct-3qe6io8t6jtny) 變更類型提交 RFC,請求存取 AppRegistry。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer-appregistry-console-role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問: AWS Service Catalog AppRegistry 在我的 AMS 帳戶中使用 有哪些限制?**
除了在 `'Name'`標籤中使用 AMS 命名空間之外,還提供 AppRegistry 服務的完整存取權。
**問: AWS Service Catalog AppRegistry 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
在您的 AMS 帳戶中使用 AppRegistry 沒有先決條件或相依性。
# 使用 AMS SSP AWS Shield Advanced 在您的 AMS 帳戶中佈建
使用 AMS 自助式服務佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Shield Advanced 的功能。 AWS Shield Advanced 是一種受管分散式拒絕服務 (DDoS) 保護服務,可保護在 上執行的應用程式 AWS。Shield Advanced 提供全年無休的偵測和自動內嵌緩解措施,可將應用程式停機時間和延遲降至最低,因此不需要讓 AWS Support 參與,即可受益於 DDoS 保護。有兩種方案 AWS Shield :標準和進階;AMS 提供 Shield Advanced。若要進一步了解,請參閱 [Shield Advanced](https://aws.amazon.com/shield/)。
所有 AWS 客戶都能從自動保護中受益 AWS Shield Standard,無需額外付費。 可 AWS Shield Standard 防禦以您的網站或應用程式為目標的最常見、經常發生的網路和傳輸層 DDoS 攻擊。當您 AWS Shield Standard 搭配 Amazon CloudFront 和 Amazon Route 53 使用 時,您可以獲得針對所有已知基礎設施 (第 3 層和第 4 層) 攻擊的全方位可用性保護。
如需針對在 Amazon Elastic Compute Cloud (Amazon EC2)、Elastic Load Balancing (ELB) AWS Global Accelerator、Amazon CloudFront 和 Amazon Route 53 資源上執行的應用程式進行攻擊的更高層級保護,您可以訂閱 AWS Shield Advanced。
除了 隨附的網路和傳輸層保護之外 AWS Shield Standard, AWS Shield Advanced 還提供額外偵測和防禦,以防範大型和複雜的 DDoS 攻擊、近乎即時的攻擊可見性,以及與 AWS WAF Web 應用程式防火牆整合。 AWS Shield Advanced 也可讓您全年無休地存取 AWS Shield 回應團隊 (SRT),並保護 Amazon Elastic Compute Cloud (Amazon EC2)、Elastic Load Balancing (Elastic Load Balancing) AWS Global Accelerator、Amazon CloudFront 和 Amazon Route 53 費用中的 DDoS 相關峰值。
## AWS Managed Services 常見問答集中的 Shield Advanced
**問:如何請求存取 AMS 帳戶中的 Shield Advanced?**
透過使用 管理 \$1 AWS 服務 \$1 自行佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型提交 RFC 來請求存取 Shield Advanced。此 RFC 會將下列 IAM 角色佈建至您的帳戶: `customer_shield_role`和 `aws_drt_shield_role`。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
在角色部署到您的帳戶後,您可以使用 `customer_shield_role` 來確認 AWS Shield Advanced 帳戶中的 訂閱。
**注意**
請注意,使用 會產生月費和一年的承諾 AWS Shield Advanced。此外,在 AMS AWS Shield Advanced 中使用 可授權 AMS 升級至 AWS Shield (SRT),其可能會在升級分散式拒絕服務 (DDoS AWS WAF) 事件期間變更您的 Web 應用程式防火牆 () 規則。這些變更將與 AMS 協調進行。
**問:在我的 AMS 帳戶中使用 Shield Advanced 有哪些限制?**
雖然不是限制,但您應該了解使用 Shield Advanced 部署 `aws_drt_shield_role`,這可讓 AWS Shield 團隊 (SRT) 在升級的 DDoS 事件期間對 AMS 帳戶內的 AWS WAF 規則進行緊急變更。AMS 建議這樣做,以最快的速度修復 DDoS 攻擊,並在 AMS 升級至 SRT 之後發生。
**問:在我的 AMS 帳戶中使用 Shield Advanced 的先決條件或相依性是什麼?**
在您的 AMS 帳戶中使用 Shield Advanced 沒有先決條件或相依性。
# 使用 AMS SSP AWS Snowball Edge 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Snowball Edge 功能。Snowball Edge 是一種 PB 級資料傳輸解決方案,使用專為安全而設計的裝置,將大量資料傳入和傳出 AWS 雲端。Snowball Edge 透過大規模資料傳輸解決常見的挑戰,包括高網路成本、長傳輸時間和安全問題。您可以使用 Snowball Edge 遷移分析資料、基因體資料、影片庫、映像儲存庫、備份,以及封存部分資料中心關機、磁帶取代或應用程式遷移專案。使用 Snowball Edge 傳輸資料簡單、快速、更安全,而且使用高速網際網路傳輸資料的成本可能低至五分之一。
使用 Snowball Edge,您不需要撰寫任何程式碼或購買任何硬體來傳輸資料。從使用 AWS 管理主控台為 Snowball [建立匯入任務](https://docs.aws.amazon.com/snowball/latest/ug/create-import-job.html)開始,Snowball 裝置會自動運送給您。一旦裝置送達,請將裝置連接到您的本機網路,下載並執行 Snowball 用戶端 (「用戶端」) 以建立連線,然後使用用戶端選取您要傳輸至裝置的檔案目錄。然後,用戶端會高速加密檔案並將其傳輸至裝置。傳輸完成且裝置準備好要送回後,E Ink 運送標籤會自動更新,而且您可以使用 Amazon Simple Notification Service (Amazon SNS)、文字訊息或直接在主控台中追蹤任務狀態。如需詳細資訊,請參閱 [AWS Snowball Edge](https://aws.amazon.com/snowball/)。
## AWS Managed Services 常見問答集中的 Snowball Edge
常見問題和解答:
**問:如何請求存取 AMS 帳戶中 AWS Snowball Edge 的 ?**
在 AMS 中實作 Snowball Edge 是一個兩步驟的程序:
1. 提交管理 \$1 其他 \$1 其他 \$1 建立 (ct-1e1xtak34nx76) 變更類型,並為您的 AMS 帳戶請求 Snowball Edge 的服務角色。
1. 透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 來請求使用者存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_snowball_console_role`、 `customer_snowball_export_role`和 `customer_snowball_import_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問: AWS Snowball Edge 在我的 AMS 帳戶中使用 有哪些限制?**
完整功能 AWS Snowball Edge 可在您的 AMS 帳戶中使用。
**問: AWS Snowball Edge 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
您必須擁有上述的服務角色帳戶。
# 使用 AMS SSP AWS Step Functions 在您的 AMS 帳戶中佈建
使用 AMS 自助式服務佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Step Functions 的功能。 AWS Step Functions 是一種 Web 服務,可讓您使用視覺化工作流程來協調分散式應用程式和微服務元件。您可以從個別元件建立應用程式,這些元件會各自執行不同的功能或任務,讓您快速擴展及變更應用程式。Step Functions 提供可靠的方法來協調元件,並逐步完成應用程式的函數。Step Functions 提供圖形主控台,將應用程式的元件視覺化為一系列步驟。它會自動觸發和追蹤每個步驟,並在發生錯誤時重試,因此您的應用程式每次都會按照預期順序執行。Step Functions 會記錄每個步驟的狀態,因此當發生問題時,您可以快速診斷和偵錯問題。如需詳細資訊,請參閱 [AWS Step Functions](https://aws.amazon.com/step-functions/)。
## AWS Managed Services 常見問答集中的步驟函數
常見問題和解答:
**問:如何請求存取 AMS 帳戶中 AWS Step Functions 的 ?**
透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 提交 RFC AWS Step Functions 來請求存取 。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_step_functions_role`。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問: AWS Step Functions 在我的 AMS 帳戶中使用 有哪些限制?**
完整功能 AWS Step Functions 可在您的 AMS 帳戶中使用。
**問: AWS Step Functions 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
在執行時間,Step Functions 使用的角色必須能夠存取 Step Functions 使用的服務。例如,步驟函數可以依賴 Lambda 函數。撰寫步驟函數的人可能同時建立 Lambda 函數,也需要請求存取該服務。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 AWS Systems Manager 參數存放區
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 AWS Systems Manager 參數存放區功能。 AWS Systems Manager 參數存放區為組態資料管理和秘密管理提供安全的階層式儲存。您可以存放密碼、資料庫字串和授權碼之類的資料做為參數值。您存放的值可以是純文字或加密資料。然後您可以使用建立參數時指定的唯一名稱來參考它的值。參數存放區具有高度可擴展性、可用性和耐用性,由 AWS 雲端提供支援。若要進一步了解,請參閱[AWS Systems Manager 參數存放區](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)。
**注意**
如果您想要具有生命週期管理的專用秘密存放區,請使用 [使用 AMS SSP AWS Secrets Manager 在您的 AMS 帳戶中佈建](secrets-manager.md)而非 參數存放區。Secrets Manager 可讓您自動輪換秘密,協助您滿足安全和合規要求。Secrets Manager 為 Amazon RDS 上的 MySQL、PostgreSQL 和 Amazon Aurora 提供內建整合,可透過自訂 Lambda 函數擴充到其他類型的秘密。
## AWS Systems Manager AWS Managed Services 常見問答集中的參數存放區
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 Systems Manager 參數存放區?**
透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 提交 RFC 來請求存取 AWS Systems Manager 參數存放區。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_systemsmanager_parameterstore_console_role`。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 AWS Systems Manager 參數存放區有哪些限制?**
您必須使用 AWS 受管金鑰;存取會受到限制,無法建立自訂 KMS 金鑰。不過,如果需要自訂金鑰,請提交 RFC 以使用此 IAM 角色建立客戶受管金鑰 (CMK) \$1 進階堆疊元件 \$1 KMS 金鑰 \$1 建立變更類型 (ct-1d84keiri1jhg),`customer_systemsmanager_parameterstore_console_role`做為 `IAMPrincipalsRequiringDecryptPermissions`和 `IAMPrincipalsRequiringEncryptPermissionsPrincipal` 參數的值。建立 KMS 金鑰之後,您可以使用它建立安全字串。
**問:在我的 AMS 帳戶中使用 AWS Systems Manager 參數存放區的先決條件或相依性為何?**
沒有先決條件;不過,SSM 參數存放區依賴 KMS 來建立安全字串,因此您可以加密和解密儲存在參數存放區中的值。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 AWS Systems Manager 自動化
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 AWS Systems Manager 自動化功能。 AWS Systems Manager 自動化使用 Runbook、動作和服務配額,簡化 Amazon Elastic Compute Cloud 執行個體和其他 AWS 資源的常見維護和部署任務。它可讓您大規模建置、執行和監控自動化。Systems Manager Automation 是一種 Systems Manager 文件,可定義 Systems Manager 在受管執行個體上執行的動作。您用來執行常見維護和部署任務的 Runbook,例如在受管執行個體中執行命令或自動化指令碼。Systems Manager 包含可協助您使用 Amazon Elastic Compute Cloud 標籤以大型執行個體群組為目標的功能,以及協助您根據定義限制推展變更的速度控制。Runbook 是使用 JavaScript 物件標記法 (JSON) 或 YAML 撰寫。使用 Systems Manager Automation 主控台中的 Document Builder (文件建置器),不過,您可以建立 Runbook,而無需以原生 JSON 或 YAML 撰寫。或者,您可以使用 Systems Manager 提供的 Runbook 搭配符合您需求的預先定義步驟。若要進一步了解,請參閱 AWS Systems Manager 文件中的[使用 Runbook](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)。
**注意**
雖然 Systems Manager Automation 支援 20 種可在 Runbook 中使用的動作類型,但是在編寫要在 AMS Advanced 帳戶中使用的 Runbook 時,您可以使用有限數量的動作。同樣地,Systems Manager 提供的 Runbook 數量有限,可以直接使用,也可以從您自己的 Runbook 中使用。如需詳細資訊,請參閱下列常見問答集中的限制。
## AWS Systems Manager AWS Managed Services 中的自動化常見問答集
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 Systems Manager Automation?**
透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 提交 RFC 來請求存取 AWS Systems Manager 自動化。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_systemsmanager_automation_console_role`。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問:在我的 AMS 帳戶中使用 AWS Systems Manager 自動化有哪些限制?**
您必須使用有限的一組 Systems Manager 支援動作來撰寫 Runbook,才能在受管執行個體內執行命令和/或指令碼。您可以搭配任何限制使用的動作概述如下。
**AWS Systems Manager 自動化限制**
| 動作 | 描述 | 限制 |
| --- | --- | --- |
| aws:assertAwsResourceProperty – | 宣告 AWS 資源狀態或事件狀態 | 僅限 EC2 執行個體 |
| aws:aws:branch – | 執行條件式自動化步驟 | 無限制 |
| aws:createTags – | 建立 AWS 資源的標籤 | 僅適用於您撰寫的 SSM 自動化 Runbook |
| aws:executeAutomation – | 執行另一個自動化 | 只有您撰寫的自動化 Runbook |
| aws:executeScript – | 執行指令碼 | 僅限不對任何 服務進行任何 API 呼叫的指令碼 |
| aws:暫停 – | 暫停自動化 | 無限制 |
| aws:runCommand – | 在受管執行個體上執行命令 | 僅使用 System Manager 提供的文件 - AWS-RunShellScript 和 AWS-RunPowerShellScript |
| aws:sleep – | 延遲自動化 | 無限制 |
| aws:waitForAwsResourceProperty – | 等待 AWS 資源屬性 | 僅限 EC2 執行個體 |
您也可以選擇使用 Systems Manager 提供的 Runbook AWS-RunShellScript 和 AWS-RunPowerShellScript,從 Systems Manager 主控台使用「執行命令」功能直接執行命令或指令碼。您也可以將這些 Runbook 巢狀化為 Runbook,以因應額外的驗證前和/或驗證後或任何複雜的自動化邏輯。
該角色遵循最低權限原則,並且只提供在受管執行個體中撰寫、執行和擷取 Runbook 執行命令和/或指令碼所需的許可。它不會為 AWS Systems Manager 服務提供的任何其他功能提供許可。雖然此功能可讓您撰寫自動化 Runbook,但執行 Runbook 無法以 AMS 擁有的資源為目標。
**問:在我的 AMS 帳戶中使用 AWS Systems Manager 自動化的先決條件或相依性是什麼?**
沒有先決條件;不過,您必須確保在撰寫 Runbook 時遵循內部程序和/或合規控制。我們也建議在針對生產資源執行 Runbook 之前,先徹底測試 Runbook。
**問:Systems Manager 政策是否可以`customer_systemsmanager_automation_policy`連接到其他 IAM 角色?**
否,與其他已啟用自行佈建的服務不同,此政策只能指派給佈建的預設角色 `customer_systemsmanager_automation_console_role`。
與其他 SSPS 角色的政策不同,此 SSM SSPS 政策無法與其他自訂 IAM 角色共用,因為此 AMS 服務僅適用於在受管執行個體內執行命令或自動化指令碼。如果這些許可被允許連接到其他自訂 IAM 角色,可能具有其他服務的許可,則允許的動作範圍可以擴展到受管服務,並可能降低您帳戶的安全狀態。
若要根據我們的 AMS 技術標準評估任何變更請求 (RFCs),請使用各自的 Cloud Architect 或服務交付管理員,請參閱 [RFC 安全性審查](https://docs.aws.amazon.com/managedservices/latest/ctref/rfc-security.html)。
**注意**
AWS Systems Manager 可讓您使用與 帳戶共用的 Runbook。我們建議您在使用共用 Runbook 時小心謹慎,並執行盡職調查檢查,並確保在執行 Runbook 之前檢閱內容以了解其執行的命令/指令碼。如需詳細資訊,請參閱[共用 SSM 文件的最佳實務](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-before-you-share.html)。
# 使用 AMS SSP AWS Transfer Family 在您的 AMS 帳戶中佈建
使用 AMS 自助式服務佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 AWS Transfer Family (Transfer 系列) 功能。 AWS Transfer Family 是一種全受管 AWS 服務,可讓您透過安全檔案傳輸通訊協定 (SFTP) 傳輸檔案,進出 Amazon Simple Storage Service (Amazon S3) 儲存體。SFTP 也稱為 Secure Shell (SSH) 檔案傳輸通訊協定。SFTP 已應用在不同業界間的資料交換工作流程,例如金融服務、健保、廣告、零售等。
透過 AWS SFTP,您可以在 中存取 SFTP 伺服器, AWS 而不需要執行任何伺服器基礎設施。您可以使用此服務將以 SFTP 為基礎的工作流程遷移至 , AWS 同時維持最終使用者的用戶端和組態。您必須先將主機名稱與 SFTP 伺服器端點建立關聯,然後新增您的使用者,並以適當的存取層級佈建他們。完成後,使用者的傳輸請求會直接從 AWS SFTP 伺服器端點服務。若要進一步了解,請參閱[AWS Transfer for SFTP](https://aws.amazon.com/aws-transfer-family),也請參閱[建立啟用 SFTP 的伺服器](https://docs.aws.amazon.com/transfer/latest/userguide/create-server-sftp.html)。
## AWS Transfer for SFTP 在 AWS Managed Services 常見問答集中
常見問題和解答:
**問:如何請求存取 AMS 帳戶中 AWS Transfer for SFTP 的 ?**
透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 提交 RFC AWS Transfer for SFTP 來請求存取 。透過此 RFC,會在您的帳戶中佈建下列 IAM 角色和政策:
+ `customer_transfer_author_role`。 此角色旨在讓您透過主控台管理 SFTP 服務。
+ `customer_transfer_sftp_server_logging_role`。 此角色旨在連接到 SFTP 伺服器。它允許 SFTP 伺服器將日誌提取到 CloudWatch。
+ `customer_transfer_sftp_user_role`。 此角色旨在連接到 SFTP 使用者。它允許 SFTP 使用者與 S3 儲存貯體互動。
+ `policy customer_transfer_scope_down_policy`。 此政策是縮小範圍的政策,可套用至 SFTP 使用者,以將 S3 儲存貯體的存取權限制在其主資料夾。
+ `customer_transfer_sftp_efs_user_role`。 此角色旨在連接到 SFTP 使用者。它允許 SFTP 使用者與 EFS 檔案系統互動。
在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問: AWS Transfer for SFTP 在我的 AMS 帳戶中使用 有哪些限制?**
AWS SFTP 組態的傳輸僅限於沒有「AMS-」或「MC-」字首的資源,以防止對 AMS 基礎設施進行任何修改。
**問: AWS Transfer for SFTP 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
+ 在建立 AWS Transfer for SFTP 伺服器和使用者之前,您必須擁有名稱包含關鍵字「傳輸」的 Amazon S3 儲存貯體。
+ 若要使用「客戶識別提供者」,您必須部署 API Gateway、Lambda 函數和使用者儲存庫 (AD、Secrets Manager 等)。如需詳細資訊,請參閱[啟用 AWS Transfer for SFTP 使用 和使用身分提供者的密碼身分驗證 AWS Secrets Manager](https://aws.amazon.com/blogs/storage/enable-password-authentication-for-aws-transfer-for-sftp-using-aws-secrets-manager/)。 [https://docs.aws.amazon.com/transfer/latest/userguide/authenticating-users.html](https://docs.aws.amazon.com/transfer/latest/userguide/authenticating-users.html)
# 使用 AMS SSP AWS Transit Gateway 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Transit Gateway 的功能。 AWS Transit Gateway 是一種服務,可讓您將 Amazon Virtual Private Cloud (VPCs) 和內部部署網路連線至單一閘道。隨著執行中的工作負載數量增加 AWS,您需要能夠跨多個帳戶和 Amazon VPCs 擴展網路,以跟上成長速度。今天,您可以使用對等互連來連接對 Amazon VPCs。不過,在不能夠集中管理連線政策的情況下,管理多個 Amazon VPCspoint-to-point連線,可能成本高昂且繁瑣。對於內部部署連線,您需要將 AWS VPN 連接到每個個別的 Amazon VPC。此解決方案在 VPCs 數量增加到數百個時,建置和難以管理可能會很耗時。如需詳細資訊,請參閱 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)。
## AWS Transit Gateway 在 AWS Managed Services 常見問答集中
常見問題和解答:
**問:如何請求存取 AMS 帳戶中 AWS Transit Gateway 的 ?**
透過使用 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 提交 RFC AWS Transit Gateway 來請求存取 。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_tgw_console_role`。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
**問: AWS Transit Gateway 在我的 AMS 帳戶中使用 有哪些限制?**
完整功能 AWS Transit Gateway 可在您的 AMS 單一帳戶登陸區域帳戶中使用,但 Transit Gateway 路由的路由表修改除外。透過提交管理 \$1 其他 \$1 其他 \$1 建立變更類型 (ct-1e1xtak34nx76) 來請求路由表變更。
**注意**
此服務僅支援單一帳戶登陸區域 (SALZ),不支援多帳戶登陸區域 (MALZ)。
**問: AWS Transit Gateway 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
AWS Transit Gateway 您的 AMS 帳戶中沒有要使用的先決條件或相依性。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 AWS WAF Web 應用程式防火牆
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS WAF 的功能。 AWS WAF 是一種 Web 應用程式防火牆 (AWS WAF),可協助保護您的 Web 應用程式免受可能影響應用程式可用性、危及安全性或耗用過多資源的常見 Web 入侵。透過定義可自訂的 Web 安全規則, AWS WAF 您可以控制 Web 應用程式要允許或封鎖哪些流量。您可以使用 AWS WAF 建立自訂規則來封鎖常見的攻擊模式,例如 SQL Injection 或跨網站指令碼;以及專為您的特定應用程式設計的規則。
若要進一步了解,請參閱 [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/)。
AMS 不支援監控 (CloudWatch 警示/事件/MS 警示) AWS WAF。由於 的性質 AWS WAF,您必須為您的應用程式建立自訂規則;AMS 無法在沒有應用程式內容的情況下為您量化和建立警示。若要進一步了解,請參閱 [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/)。
## AWS WAF 在 AWS Managed Services 常見問答集中
常見問題和解答:
**問:如何 AWS WAF 請求在我的 AMS 帳戶中設定 ?**
透過 管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 提交 RFC AWS WAF 來請求存取 。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_waf_role`。在您的帳戶中佈建 AWS WAF IAM 角色之後,您必須在聯合解決方案中加入該角色。
**問:使用 有哪些限制 AWS WAF?**
佈建許可後,您即擁有 的完整功能 AWS WAF。
**問:要使用哪些先決條件或相依性 AWS WAF?**
AWS WAF 您的 AMS 帳戶中沒有要使用的先決條件或相依性。
# 使用 AMS SSP AWS Well-Architected Tool 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS Well-Architected Tool 的功能。 AWS Well-Architected Tool 可協助您檢閱工作負載的狀態,並將其與最新的 AWS 架構最佳實務進行比較。此工具以 [AWS Well-Architected Framework](https://aws.amazon.com/architecture/well-architected/) 為基礎,旨在協助雲端架構師建置安全、高效能、彈性且高效率的應用程式基礎設施。此架構為您提供評估架構的一致方法,已在解決方案架構團隊執行 AWS 的數萬個工作負載檢閱中使用,並提供指引,以協助實作可隨時間擴展應用程式需求的設計。如需詳細資訊,請參閱 [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/)。
## AWS WA Tool 在 AWS Managed Services 常見問答集中
常見問題和解答:
**問:如何請求存取 AMS 帳戶中 AWS Well-Architected Tool 的 ?**
透過使用 管理 \$1 AWS 服務 \$1 自行佈建服務 \$1 新增變更類型 (ct-1w8z66n899dct) 提交 RFC AWS Well-Architected Tool 來請求存取 。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_well_architected_tool_console_admin_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
**問: AWS Well-Architected Tool 在我的 AMS 帳戶中使用 有哪些限制?**
完整功能 AWS Well-Architected Tool 可在您的 AMS 帳戶中使用。
**問: AWS Well-Architected Tool 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
AWS Well-Architected Tool 您的 AMS 帳戶中沒有要使用的先決條件或相依性。
# 使用 AMS SSP AWS X-Ray 在您的 AMS 帳戶中佈建
使用 AMS 自助式服務佈建 (SSP) 模式直接在您的 AMS 受管帳戶中存取 AWS X-Ray (X-Ray) 功能。 AWS X-Ray 可協助開發人員分析和偵錯生產、分散式應用程式,例如使用微服務架構建置的應用程式。透過 X-Ray,您可以了解應用程式及其基礎服務的效能,以識別效能問題和錯誤的根本原因並進行故障診斷。X-Ray 會在請求通過您的應用程式時,提供請求的end-to-end檢視,並顯示應用程式基礎元件的映射。您可以使用 X-Ray 來分析開發中和生產中的應用程式,從簡單的三層應用程式到由數千種服務組成的複雜微服務應用程式。如需詳細資訊,請參閱 [AWS X-Ray](https://aws.amazon.com/xray/)。
## AWS Managed Services 常見問答集中的 X-Ray
常見問題和解答:
**問:如何請求存取 AMS 帳戶中 AWS X-Ray 的 ?**
透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶:`customer_xray_console_role`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。此外,您必須擁有 `customer_xray_daemon_write_instance_profile`,才能將資料從 Amazon EC2 執行個體推送至 X-Ray。當您收到 時,就會建立此執行個體描述檔`customer_xray_console_role`。
您可以向 AMS Operations 提交服務請求,將 `customer_xray_daemon_write_policy` 指派給現有的執行個體描述檔,也可以使用 AMS Operations 為您啟用 X-Ray 時建立的執行個體描述檔。
**問: AWS X-Ray 在我的 AMS 帳戶中使用 有哪些限制?**
除了使用 AWS KMS 金鑰 (KMS 金鑰) 加密之外,您的 AMS 帳戶中 AWS X-Ray 提供 的完整功能。 預設會 AWS X-Ray 加密所有追蹤資料。根據預設,X-Ray 會加密追蹤和靜態相關資料。如果您需要使用金鑰加密靜態資料,您可以選擇受管 KMS 金鑰 AWS(aws/xray) 或 KMS 客戶受管金鑰。對於適用於 X-Ray 加密的 KMS 客戶受管金鑰,請提交管理 \$1 其他 \$1 其他 \$1 建立變更類型 (ct-1e1xtak34nx76)。
**問: AWS X-Ray 在我的 AMS 帳戶中使用 的先決條件或相依性是什麼?**
AWS X-Ray 具有對 Amazon S3、CloudWatch 和 CloudWatch Logs 的相依性,這些日誌已在 AMS 帳戶中實作。暫時性相依性會根據資料來源和功能可能互動 AWS AWS X-Ray 的其他服務 (例如 Amazon Redshift、Amazon RDS、Athena) 而有所不同。
# 使用 AMS SSP 在您的 AMS 帳戶中佈建 VM Import/Export
使用 AMS 自助式佈建 (SSP) 模式,直接在您的 AMS 受管帳戶中存取 VM Import/Exportcapabilities。VM Import/Export 可讓您輕鬆地將虛擬機器映像從現有環境匯入 Amazon EC2 執行個體,並將其匯出回內部部署環境。此方案可讓您利用在虛擬機器中現有的投資,透過將這些虛擬機器作為ready-to-use型執行個體帶入 Amazon EC2 來滿足您的 IT 安全性、組態管理和合規要求。您也可以將匯入的執行個體匯出回內部部署虛擬化基礎設施,讓您跨 IT 基礎設施部署工作負載。若要進一步了解,請參閱 [VM Import/Export](https://aws.amazon.com/ec2/vm-import/)。
## AWS Managed Services 常見問答集中的 VM Import/Export
常見問題和解答:
**問:如何請求存取 AMS 帳戶中的 VM Import/Export?**
透過使用 Management \$1 AWS service \$1 Self-visioned service \$1 Add change type (ct-1w8z66n899dct) 提交 RFC,請求存取 VM Import/Export。此 RFC 會將下列 IAM 政策佈建至您的帳戶:`customer_vmimport_policy`。在帳戶中佈建之後,您必須在聯合解決方案中加入角色。
需要額外的角色,即 **VM Import/Export Service** 角色,服務才能在您的帳戶中執行動作。
**問:在我的 AMS 帳戶中使用 VM Import/Export 有哪些限制?**
+ AMS VM Import/Export 提供匯入自訂機器映像和資料磁碟區的功能。不過,已縮小 S3 的許可範圍,將動作限制為符合名稱的儲存貯體,`customer-vmimport-*`以限制對帳戶內資訊的存取。
+ AMS VM Import/Export 支援映像和快照匯入。不過,由於安全措施,執行個體匯入和執行個體匯出功能無法使用。
+ 此外,匯出功能已停用,以降低匯出受限和敏感資料的風險。
**問:在我的 AMS 帳戶中使用 VM Import/Export 的先決條件或相依性是什麼?**
+ 您必須提供支援的磁碟映像,才能匯入 AWS 環境。如需詳細資訊,請參閱 [VM Import/Export Requirements](https://docs.aws.amazon.com/vm-import/latest/userguide/vmie_prereqs.html)。
+ VM Import/Export 無法透過 AWS 主控台存取。您必須透過 AWS CLI AWS Tools for PowerShell或 AWS SDKs 存取此服務。或者,您可以透過提交變更類型 ct-117rmp64d5mvb 來請求執行個體描述檔:部署 \$1 進階堆疊元件 \$1 Identity and Access Management (IAM) \$1 建立 EC2 執行個體描述檔。此執行個體描述檔可讓工具從執行個體執行命令。
# 客戶受管模式
AWS Managed Services (AMS) 客戶受管模式提供靈活且可根據您的需求進行調整的控管模型。對於 AMS 無法為您操作的服務和應用程式,這可以被視為備用選項。AMS 不會操作在此模式下建立之帳戶中託管的基礎設施。不過,您可以在此模式中利用集中式多帳戶管理。在此模式下,可以使用下列多帳戶登陸區域功能:
+ 自動化帳戶部署
+ 網路帳戶中透過 Transit Gateway 的連線
+ AMS Config 規則程式庫
+ 將日誌副本儲存在日誌帳戶中
+ 將客戶受管 Guard Duty 警示彙總至安全帳戶
+ Consolidated Billing (合併帳單)
+ 啟用自訂服務控制政策。
例如:如果您想要在 Ubuntu Pro 上執行工作負載,而 Ubuntu Pro 不是由 AMS 管理的作業系統,您可以使用客戶受管帳戶來託管它。您也可以透過客戶受管帳戶合併工作負載,以利用透過跨 AWS 組織共用提供的預留執行個體/共享計劃的大量折扣。
# Customer Managed 模式入門
AMS 客戶受管模式可透過特殊的多帳戶登陸區域應用程式帳戶使用。
如需詳細資訊,包括如何建立客戶受管應用程式帳戶,請參閱[客戶受管應用程式帳戶](https://docs.aws.amazon.com/managedservices/latest/userguide/application-account-cust-man.html)。
# AMS 和 AWS Service Catalog
AWS Managed Services (AMS) 中的 Service Catalog 可讓組織建立和管理 AWS 資訊技術 (IT) 服務的目錄,並讓 IT 管理員建立、管理和分發已核准產品的目錄給帳戶中的最終使用者,然後他們可以在個人化的服務入口網站中存取他們所需的產品。管理員可以控制哪些使用者可以存取每個產品,以強制遵守組織業務政策。管理員也可以設定角色,讓最終使用者只需要 IAM 存取 Service Catalog,即可部署核准的資源。Service Catalog 可讓您的組織受益於提高靈活性和降低成本,因為最終使用者可以從您控制的目錄中找到並啟動他們所需的產品。
Service Catalog 為您提供 AMS 變更請求 (RFC) 程序的替代方案,用於佈建和更新 AMS 受管帳戶中的資源。AMS 會針對透過 Service Catalog 佈建的所有基礎設施資源,管理大規模執行 AWS 所需的所有基礎設施操作任務,包括安全性、合規性、佈建、可用性、修補程式、監控、提醒、報告、事件回應和成本最佳化。在您的 AMS 受管帳戶中使用 Service Catalog 可為您提供一種機制,以集中管理經常部署的 IT 服務,並協助您實現一致的控管,同時允許使用者僅將他們所需的已核准 IT 服務快速部署到其受管環境中。
# Service Catalog 入門
若要開始使用 AMS 中的 Service Catalog,請透過 AMS 主控台提交服務請求,以請求存取 Service Catalog。提交請求時,三個 IAM 角色將部署到您的 帳戶 (以及包含叫用 AMS `Transform`的 CloudFormation 巨集) 的 AMS 受管堆疊中,以便我們可以在系統中註冊產品,並對透過 Service Catalog 佈建的基礎設施執行操作。部署的三個 IAM 角色包括 IT 管理員以 Service Catalog 管理員身分管理產品的角色;應用程式擁有者和最終使用者設定、啟動和管理產品的角色;以及將用作啟動限制的角色,定義 Service Catalog 在啟動或更新產品時將使用的許可。
# 開始之前,AMS 中的 Service Catalog
**Service Catalog 是否會取代現有的 AMS 變更請求 (RFC) 程序?**
在啟用 Service Catalog 的帳戶中,它將充當變更管理系統,您可以在其中透過預先定義的產品目錄在 AMS 帳戶中佈建和更新 IT 服務;AMS 將提供預設產品組合/產品目錄,而且您的 IT 管理員可以建立和設定您自己的 。Service Catalog 只會認可透過 Service Catalog 佈建的堆疊。同樣地,透過 Service Catalog 佈建的服務將無法透過 AMS RFC 程序進行修改,因為在 Service Catalog 之外進行修改會將堆疊偏離核准的產品組態。
**我可以在 AMS 主控台中查看透過服務目錄佈建的堆疊嗎?**
是。您可以在 AMS 主控台中檢視透過服務目錄佈建的所有堆疊。透過服務目錄佈建的堆疊可透過「SC-」的堆疊 ID 輕鬆識別。雖然堆疊可在 AMS 主控台中檢視,但您將無法透過 AMS RFC 程序進行更新。AMS 變更管理系統 (RFCs的存取權僅限於存取請求、修補程式協同運作和備份 RFCs。
**如果我透過 Service Catalog 佈建和/或更新堆疊,AMS 主控台中是否會有對應的 RFC?**
AMS 主控台中顯示的唯一 RFC 是在最初佈建堆疊時向 AMS 註冊堆疊的 RFC。透過 Service Catalog 啟動堆疊時觸發的 AMS 驗證程序會自動提交此 RFC。所有其他佈建和變更都會直接在 Service Catalog 中追蹤,並且可以在 Service Catalog 主控台中檢視。此外,您可以使用 Service Catalog **中的佈建產品計畫**功能,檢視在佈建或更新產品之前將對資源進行的變更清單。
**我是否必須執行在 AMS 受管帳戶中佈建產品的特定動作?**
是。在 AMS 帳戶中佈建的所有 Service Catalog 產品都必須在定義該產品的 CFN 範本中包含此行 JSON:
```
"Transform":{"Name":"AmsStackTransform","Parameters":{"StackId":{"Ref":"AWS::StackId"}}}
```
此 CloudFormation 程式碼片段會觸發在 AMS 受管帳戶中佈建資源之前所需的 AMS 驗證。您有責任將此程式碼行包含在產品定義中。如果未包含,佈建將會失敗,並顯示下列錯誤訊息:「無法建立產品。此帳戶由 AMS 管理。AMS 帳戶中的所有產品都必須在範本中具有 AMS `Transform`程式碼。」
**AMS 客戶在啟動時是否有任何 Service Catalog 功能無法使用和/或受限?**
是,下列 SC 功能在初始啟動時不適用於 AMS 客戶:
+ 透過 Service Catalog 建立帳戶
+ 能夠在 AMS 受管帳戶中透過 Service Catalog 啟動所有 AWS 服務。AWS 服務可用性僅限於 AMS 支援的服務 (受管和自行佈建)。如需 AMS 支援服務的詳細資訊,請參閱 AMS 服務描述。
+ Service Catalog IT Service Manager (ITSM) 連接器不會與 AMS 事件報告和服務請求通訊。
+ 能夠利用 Service Catalog 快速啟動和參考架構,無需修改。請記住,適用於 AMS 帳戶的 Service Catalog 產品必須包含此行 JSON 程式碼:
```
"Transform":{"Name":"AmsStackTransform","Parameters":{"StackId":{"Ref":"AWS::StackId"}}}
```
CNF 範本中的 。請注意,此行*不是*典型 AWS CloudFormation 範本的一部分,必須明確新增。
+ AMS 目前不支援佈建 Service Catalog 產品的 Terraform。
+ AMS 不支援 AWS CFN 堆疊集。
+ 您無法建立自訂 IAM 角色。
+ 服務動作僅限於:
+ [ AWS-RebootRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-RebootRdsInstance/description?region=us-east-1)
+ [ AWS-RestartEC2Instance](https://console.aws.amazon.com/systems-manager/documents/AWS-RestartEC2Instance/description?region=us-east-1)
+ [ AWS-StartEC2Instance](https://console.aws.amazon.com/systems-manager/documents/AWS-StartEC2Instance/description?region=us-east-1)
+ [ AWS-StartRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-StartRdsInstance/description?region=us-east-1)
+ [ AWS-StopEC2Instance](https://console.aws.amazon.com/systems-manager/documents/AWS-StopEC2Instance/description?region=us-east-1)
+ [ AWS-StopRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-StopRdsInstance/description?region=us-east-1)
+ [ AWS-CreateImage](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateImage/description?region=us-east-1)
+ [ AWS-CreateRdsSnapshot](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateRdsSnapshot/description?region=us-east-1)
+ [ AWS-CreateSnapshot](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateSnapshot/description?region=us-east-1)
**注意**
建立服務動作時,您可以將執行角色設定為最終使用者的許可、啟動角色或您選擇的自訂 IAM 角色。選取的執行角色必須具有足夠的許可才能執行服務動作,並具有 TrustPolicy,允許 Service Catalog 擔任該角色,否則該服務動作會在執行時失敗。我們建議使用 AWSManagedServicesServiceCatalogLaunchRole,它具有正確的許可和信任政策,可用作服務動作。
**使用 AMS RFC 系統所需的用途為何?**
在一般可用性 (GA) 時,您仍然需要使用 RFCS 來執行下列動作:
+ 設定修補程式協調器
+ 設定備份政策
+ 請求執行個體存取
+ 建立和指派 AMS 準則以外的安全群組。
+ 執行工作負載擷取 (WIGS)
+ 建立 IAM 角色
**我可以使用 Service Catalog CLI 來存取 AMS 受管帳戶中的 Service Catalog 嗎?**
是,可透過 CLI 使用並啟用 Service Catalog APIs。可透過佈建和終止這些成品來管理 Service Catalog 成品的動作可供使用。如需詳細資訊,請參閱 [AWS Service Catalog 資源](https://aws.amazon.com/servicecatalog/resources/),或下載最新的 AWS 開發套件或 CLI。
**誰會建立、管理和分發客戶的核准產品目錄?**
客戶的目錄管理員和/或 IT 管理員或指派的資源負責管理您的 Service Catalog 目錄和核准的產品。
**我可以使用 AMS AMIs嗎?**
2020 年 3 月之後提供的 AMS AMIs 可透過 AWS Service Catalog 部署。
**如何使用 Service Catalog 遷移至 AMS?**
若要使用 Service Catalog 將工作負載遷移至 AMS,請先依照[工作負載擷取 ](https://docs.aws.amazon.com/managedservices/latest/appguide/ams-workload-ingest.html)(WIGs) 程序在 AMS 中建立 AMI。您可以使用 WIGS 產生的 AMI 在 Service Catalog 中建立產品。如何執行此操作,請參閱 [AWS Service Catalog - 入門](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/getstarted.html)。