本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 應用程式帳戶類型
應用程式帳戶是您用來託管工作負載的 AMS 受管登陸區域架構中的 AWS 帳戶。AMS 提供三種類型的應用程式帳戶:
+ [AMS 受管應用程式帳戶](application-account-ams-managed.md)
+ [AMS Accelerate 帳戶](malz-accelerate-account.md)
+ [客戶受管應用程式帳戶](application-account-cust-man.md)
根據應用程式帳戶類型,應用程式帳戶會在 AWS Organizations 中的不同 OUs 中分組:
+ 根 OU:
1. 應用程式 OU
+ 受管 OU:AMS 受管帳戶
+ 開發 OU:啟用開發人員模式的 AMS 受管帳戶
1. 加速 OU:AMS 加速應用程式帳戶
1. 客戶受管 OU:客戶受管應用程式帳戶
應用程式帳戶是透過從 管理帳戶提交的 RFC 佈建:
+ 使用 VPC [ct-1zdasmc2ewzrs](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-application-account-with-vpc.html) 建立應用程式帳戶
+ 建立加速帳戶 [ct-2p93tyd5angmi](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html)
+ 建立客戶受管應用程式帳戶 [ct-3pwbixz27n3tn](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html)
# AMS 受管應用程式帳戶
完全由 AMS 管理的應用程式帳戶稱為 AMS 受管應用程式帳戶,其中部分或所有操作任務,例如服務請求管理、事件管理、安全管理、持續性管理 (備份)、修補程式管理、成本最佳化,或基礎設施的監控和事件管理,皆由 AMS 執行。
AMS 執行的任務數量取決於您選擇的變更管理模式。AMS 受管帳戶支援不同的變更管理模式:
+ [RFC 模式](rfc-mode.md)
+ [AMS 中的直接變更模式](direct-change-mode-section.md)
+ [AMS 和 AWS Service Catalog](ams-service-catalog-section.md)
+ [AMS 進階開發人員模式](developer-mode-section.md)
+ [AMS 中的自助式佈建模式](self-service-provisioning-section.md)
如需變更管理和不同模式的詳細資訊,請參閱 [變更管理模式](using-change-management.md)。
有些 AWS 服務可在 AMS 受管帳戶中使用,無需 AMS 管理。這些 AWS 服務的清單以及如何將其新增至您的 AMS 帳戶,如[自助式佈建](https://docs.aws.amazon.com/managedservices/latest/userguide/self-service-provisioning-section.html)一節所述。
# AMS Accelerate 帳戶
AMS Accelerate 是 AMS 操作計劃,可操作支援工作負載的 AWS 基礎設施。您可以受益於 AMS Accelerate 操作服務,例如監控和提醒、事件管理、安全管理和備份管理,而無需進行新的遷移、遇到停機時間或變更您使用 AWS 的方式。AMS Accelerate 也為需要定期修補的 EC2 型工作負載提供選用的修補程式附加元件。
使用 AMS Accelerate,您可以自由地原生使用、設定和部署所有 AWS 服務,或使用您偏好的工具。您將使用您偏好的存取和變更機制,同時 AMS 會一致地套用經過驗證的實務,以協助擴展您的團隊、最佳化成本、提高安全性和效率,以及改善彈性。
**注意**
AMS Advanced 中的 AMS Accelerate 帳戶沒有 AMS 變更管理 (RFCs) 或 AMS Advanced 主控台。相反地,它們具有 AMS Accelerate 主控台和功能。
加速帳戶只能從您的 AMS 多帳戶登陸區域管理帳戶佈建。Accelerate 提供不同的操作功能。如需進一步了解,請參閱[加速服務描述](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html)。
+ 您將繼續享受多帳戶登陸區域 (MALZ) 核心帳戶的一些功能,例如集中式記錄、單一帳單、安全帳戶和 SCPs中的組態彙總器。
+ AMS Accelerate 不提供某些 AMS Advanced 服務,例如 EPS、存取管理、變更管理和佈建。我們建議您遵循後續步驟來存取和設定傳輸閘道 (TGW)。
如需 Accelerate 的詳細資訊,請參閱[什麼是 Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/what-is-acc.html)。
## 建立您的 Accelerate 帳戶
若要建立 Accelerate 帳戶,請依照此處概述的步驟[建立 Accelerate 帳戶](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html#deployment-managed-management-account-create-accelerate-account-info)。
## 存取您的 Accelerate 帳戶
在多帳戶登陸區域 (MALZ) 帳戶中佈建 Accelerate 帳戶後,具有[管理存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator)許可 的角色`AccelerateDefaultAdminRole`會位於帳戶中供您擔任。
若要存取新的 Accelerate 帳戶:
1. 使用 `CustomerDefaultAssumeRole`角色登入管理帳戶的 IAM 主控台。
1. 在 IAM 主控台的導覽列上,選擇您的使用者名稱。
1. 選擇 **Switch Role** (切換角色)。如果這是第一次選擇此選項,則頁面會顯示更多資訊。讀取後,選擇 **Switch Role (切換角色)**。如果清除瀏覽器 cookie,則此頁面可以再次顯示
1. 在**切換角色**頁面上,輸入加速帳戶 ID 和要擔任的角色名稱:`AccelerateDefaultAdminRole`。
現在您已擁有存取權,您可以建立新的 IAM 角色,以繼續存取您的環境。如果您想要為 Accelerate 帳戶利用 SAML 聯合,請參閱[啟用 SAML 2.0 聯合身分使用者以存取 AWS 管理主控台](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)。
## 將您的 Accelerate 帳戶與 Transit Gateway 連線
AMS 不會管理 Accelerate 帳戶的網路設定。您可以選擇使用 AWS APIs 管理自己的網路 (請參閱[網路解決方案](https://aws.amazon.com/solutionspace/networking/)),或使用 AMS MALZ 中部署的現有 Transit Gateway (TGW) 連線至 AMS 管理的 MALZ 網路。
**注意**
如果 Accelerate 帳戶位於相同的 AWS 區域,您只能將 VPC 連接到 TGW。如需詳細資訊,請參閱[傳輸閘道](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。
若要將 Accelerate 帳戶新增至 Transit Gateway,請使用 [ 部署 \$1 受管登陸區域 \$1 網路帳戶 \$1 新增靜態路由 ](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html)(ct-3r2ckznmt0a59) 變更類型來請求新路由,請包含此資訊:
+ **Blackhole**:True 表示路由的目標無法使用。當傳輸閘道要捨棄靜態路由的流量時,請執行此操作。將流量路由到指定 TGW 連接 ID 的 False。預設值為 false。
+ **DestinationCidrBlock**:用於目的地比對的 IPV4 CIDR 範圍。路由決策是根據最明確的匹配。範例:10.0.2.0/24。
+ **TransitGatewayAttachmentId**:做為路由表目標的 TGW 附件 ID。如果 **Blackhole** 為 false,則需要此參數,否則將此參數保留空白。範例:tgw-attach-04eb40d1e14ec7272。
+ **TransitGatewayRouteTableId**:TGW 路由表的 ID。範例:tgw-rtb-06ddc751c0c0c881c。
在 TGW 路由表中建立路由以連線至此 VPC:
1. 根據預設,此 VPC 將無法與 MALZ 網路中的任何其他 VPCs通訊。
1. 與您的解決方案架構師一起決定您希望此加速 VPCs 與哪些 VPC 通訊。
1. 提交[部署 \$1 受管登陸區域 \$1 網路帳戶 \$1 新增靜態路由 ](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html)(ct-3r2ckznmt0a59) 變更類型,包括此資訊:
+ **Blackhole**:True 表示路由的目標無法使用。當傳輸閘道要捨棄靜態路由的流量時,請執行此操作。將流量路由到指定 TGW 連接 ID 的 False。預設值為 false。
+ **DestinationCidrBlock**:用於目的地比對的 IPV4 CIDR 範圍。路由決策是根據最明確的匹配。範例:10.0.2.0/24。
+ **TransitGatewayAttachmentId**:做為路由表目標的 TGW 附件 ID。如果 **Blackhole** 為 false,則需要此參數,否則將此參數保留空白。範例:tgw-attach-04eb40d1e14ec7272。
+ **TransitGatewayRouteTableId**:TGW 路由表的 ID。範例:tgw-rtb-06ddc751c0c0c881c。
**將新的 Accelerate 帳戶 VPC 連線至 AMS 多帳戶登陸區域網路 (建立 TGW VPC 連接)**:
1. 在您的多帳戶登陸區域聯網帳戶中,開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。
1. 在導覽窗格中,選擇 **Transit Gateways** (傳輸閘道)。記錄您看到的傳輸閘道的 TGW ID。
1. 在您的 Accelerate 帳戶中,開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。
1. 在導覽窗格中,選擇**傳輸閘道附件** > **建立傳輸閘道附件**。做出這些選擇:
+ 針對**傳輸閘道 ID**,選擇您在步驟 2 中記錄的傳輸閘道 ID。
+ 在 **Attachment type** (連接類型)中,選擇 **VPC**。
+ 在 **VPC Attachment (VPC 連接)** 中,您可選擇輸入 **Attachment name tag (連接名稱標籤)** 的名稱。
+ 選擇是否啟用 **DNS support (DNS 支援)** 和 **IPv6 Support (IPv6 支援)**。
+ 對於 **VPC ID**,請選擇要連接至傳輸閘道的 VPC。此 VPC 必須至少有一個子網路與之建立關聯。
+ 在**子網路 ID** 中,為每個可用區域選取傳輸閘道用來路由流量的一個子網路。您必須選擇至少一個子網路。一個可用區域只能選取一個子網路。
1. 選擇 **Create attachment (建立連接)**。記錄新建立的 TGW 附件 ID。
**將 TGW 連接與路由表建立關聯**:
1. 決定要與 VPC 建立關聯的 TGW 路由表。建議您使用部署 \$1 受管登陸區域 \$1 網路帳戶 \$1 建立傳輸閘道路由表 (ct-3dscwaeyi6cup) 變更類型,為加速帳戶 VPCs 建立新的應用程式路由表。
1. 在網路帳戶上提交[管理 \$1 受管登陸區域 \$1 網路帳戶 \$1 關聯 TGW 連接](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-networking-account-associate-tgw-attachment.html) (ct-3nmhh0qr338q6) RFC,將 VPC 或 TGW 連接與您選取的路由表建立關聯。
**在 TGW 路由表中建立路由以連線至此 VPC**:
1. 根據預設,此 VPC 將無法與多帳戶登陸區域網路中的任何其他 VPCs 通訊。
1. 與您的解決方案架構師一起決定您希望此加速帳戶 VPCs 與哪些 VPC 通訊。
1. 提交[部署 \$1 受管登陸區域 \$1 網路帳戶 \$1 針對網路帳戶新增靜態路由 ](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html)(ct-3r2ckznmt0a59) RFC,以建立您需要的 TGW 路由。
**將 VPC Route 資料表設定為指向 AMS 多帳戶登陸區域傳輸閘道**:
1. 與您的解決方案架構師一起決定您要將哪些流量傳送至 AMS 多帳戶登陸區域傳輸閘道。
1. 提交[部署 \$1 受管登陸區域 \$1 網路帳戶 \$1 針對網路帳戶新增靜態路由 ](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html)(ct-3r2ckznmt0a59) RFC,以建立您需要的 TGW 路由。
# 客戶受管應用程式帳戶
您可以建立 AMS 未以標準方式管理的帳戶。這些帳戶稱為客戶受管帳戶,可讓您完全控制在帳戶中自行操作基礎設施,同時享受由 AMS 管理的集中式架構的優點。
客戶受管帳戶無法存取 AMS 主控台或我們提供的任何服務 (修補程式、備份等)。
客戶受管帳戶只能從您的 AMS 多帳戶登陸區域管理帳戶佈建。
不同的 AMS 模式以不同的方式使用應用程式帳戶;若要進一步了解模式,請參閱 [AWS Managed Services 模式](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/ams-modes.html)。
若要建立您的客戶受管應用程式帳戶,請參閱[管理帳戶 \$1 建立客戶受管應用程式帳戶](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html)。
若要刪除客戶受管應用程式帳戶,請使用[管理帳戶 \$1 離線應用程式帳戶](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html)。([確認離職](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-application-account-confirm-offboarding.html) CT 不適用於客戶受管應用程式帳戶。)
# 存取您的客戶受管帳戶
在多帳戶登陸區域中佈建客戶受管帳戶 (CMA) 之後,管理員角色 (MALZ) `CustomerDefaultAdminRole`會位於帳戶中,供您透過 SAML 聯合身分擔任以設定帳戶。
若要存取 CMA:
1. 使用 **CustomerDefaultAssumeRole** 角色登入管理帳戶的 IAM 主控台。
1. 在 IAM 主控台的導覽列上,選擇您的使用者名稱。
1. 選擇 **Switch Role** (切換角色)。如果這是第一次選擇此選項,則頁面會顯示更多資訊。讀取後,選擇 **Switch Role (切換角色)**。如果清除瀏覽器 cookie,則此頁面可以再次顯示
1. 在**切換角色**頁面上,輸入客戶受管帳戶 ID 和要擔任的角色名稱:**CustomerDefaultAdminRole**。
現在您已擁有存取權,您可以建立新的 IAM 角色,以繼續存取您的環境。如果您想要為 CMA 帳戶利用 SAML 聯合,請參閱[啟用 SAML 2.0 聯合身分使用者以存取 AWS 管理主控台](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)。
# 將您的 CMA 與 Transit Gateway 連線
AMS 不會管理客戶受管帳戶 (CMAs) 的網路設定。您可以選擇使用 AWS APIs 管理自己的網路 (請參閱[網路解決方案](https://aws.amazon.com/solutionspace/networking/)),或使用 AMS MALZ 中部署的現有 Transit Gateway (TGW) 連線至 AMS 管理的多帳戶登陸區域網路。
**注意**
如果 CMA 位於相同的 AWS 區域,您只能將 VPC 連接到 TGW。如需詳細資訊,請參閱[傳輸閘道](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。
若要將 CMA 新增至 Transit Gateway,請使用[網路帳戶請求新路由 \$1 新增靜態路由 (ct-3r2ckznmt0a59)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) 變更類型,並包含此資訊:
+ **Blackhole**:True 表示路由的目標無法使用。當傳輸閘道要捨棄靜態路由的流量時,請執行此操作。將流量路由到指定 TGW 連接 ID 的 False。預設值為 false。
+ **DestinationCidrBlock**:用於目的地比對的 IPV4 CIDR 範圍。路由決策是根據最明確的匹配。範例:`10.0.2.0/24`。
+ **TransitGatewayAttachmentId**:做為路由表目標的 TGW 附件 ID。如果 **Blackhole** 為 false,則需要此參數,否則將此參數保留空白。範例:`tgw-attach-04eb40d1e14ec7272`。
+ **TransitGatewayRouteTableId**:TGW 路由表的 ID。範例:`tgw-rtb-06ddc751c0c0c881c`。
**將新的客戶受管 VPC 連線至 AMS 多帳戶登陸區域網路 (建立 TGW VPC 連接)**:
1. 在您的多帳戶登陸區域聯網帳戶中,開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。
1. 在導覽窗格中,選擇**傳輸閘道**。記錄您看到的傳輸閘道的 TGW ID。
1. 在您的客戶受管帳戶中,開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。
1. 在導覽窗格中,選擇**傳輸閘道附件** > **建立傳輸閘道附件**。做出這些選擇:
1. 針對**傳輸閘道 ID**,選擇您在步驟 2 中記錄的傳輸閘道 ID。
1. 在 **Attachment type** (連接類型)中,選擇 **VPC**。
1. 在 **VPC Attachment (VPC 連接)** 中,您可選擇輸入 **Attachment name tag (連接名稱標籤)** 的名稱。
1. 選擇是否啟用 **DNS support (DNS 支援)** 和 **IPv6 Support (IPv6 支援)**。
1. 對於 **VPC ID**,請選擇要連接至傳輸閘道的 VPC。此 VPC 必須至少有一個子網路與之建立關聯。
1. 在**子網路 ID** 中,為每個可用區域選取傳輸閘道用來路由流量的一個子網路。您必須選擇至少一個子網路。一個可用區域只能選取一個子網路。
1. 選擇 **Create attachment (建立連接)**。記錄新建立的 TGW 附件 ID。
**將 TGW 連接與路由表建立關聯**:
決定要與 VPC 建立關聯的 TGW 路由表。我們建議您提交部署 \$1 受管登陸區域 \$1 網路帳戶 \$1 建立傳輸閘道路由表 (ct-3dscwaeyi6cup) RFC,為客戶受管 VPCs 建立新的應用程式路由表。若要將 VPC 或 TGW 連接與您選取的路由表建立關聯,請在網路帳戶上提交部署 \$1 受管登陸區域 \$1 網路帳戶 \$1 關聯 TGW 連接 (ct-3nmhh0qr338q6) RFC。
**在 TGW 路由表中建立路由以連線至此 VPC**:
1. 根據預設,此 VPC 將無法與多帳戶登陸區域中的任何其他 VPCs 通訊。
1. 與您的解決方案架構師一起決定您希望此客戶受管 VPCs 與哪些 VPC 通訊。提交部署 \$1 受管登陸區域 \$1 網路帳戶 \$1 針對網路帳戶新增靜態路由 (ct-3r2ckznmt0a59) RFC,以建立您需要的 TGW 路由。
**注意**
此 CT (ct-3r2ckznmt0a59) 不允許將靜態路由新增至核心路由表 EgressRouteDomain;如果您的 CMA 需要允許輸出流量,請使用 ct-0xdawir96cy7k 提交管理 \$1 其他 \$1 其他 (MOO) RFC。
**將 VPC Route 資料表設定為指向 AMS 多帳戶登陸區域傳輸閘道**:
與您的解決方案架構師一起決定您要將哪些流量傳送至 AMS 多帳戶登陸區域傳輸閘道。更新您的 VPC 路由表,將流量傳送至先前建立的 TGW 連接
# 取得客戶受管帳戶的操作說明
AMS 可以透過將帳戶加入 AMS Accelerate,協助您操作您在客戶受管帳戶中部署的工作負載。透過 AMS Accelerate,您可以受益於營運服務,例如監控和提醒、事件管理、安全管理和備份管理,而無需進行新的遷移、遇到停機時間或變更使用方式 AWS。AMS Accelerate 也為需要定期修補的 EC2-based工作負載提供選用的修補程式附加元件。透過 AMS Accelerate,您可以繼續使用、設定和部署所有原生 AWS 服務,或使用您偏好的工具;就像使用 AMS Advanced Customer Managed 帳戶一樣。您會使用偏好的存取和變更機制,同時 AMS 會套用經過驗證的實務,以協助擴展您的團隊、最佳化成本、提高安全性和效率,以及改善彈性。如需進一步了解,請參閱[加速服務描述](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html)。
若要將客戶受管帳戶加入 Accelerate,請聯絡您的 CSDM,並遵循 [AMS Accelerate 入門](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/getting-started-acc.html)中的步驟。
**注意**
AMS Advanced 中的 AMS Accelerate 帳戶沒有 AMS 變更管理 (變更請求或 RFCs) 或 AMS Advanced 主控台。相反地,它們具有 AMS Accelerate 主控台和功能。