AWS Managed Services (AMS) AMS 進階操作計劃功能

記錄、監控、護欄和事件管理：

AMS 會設定和監控受管環境的記錄活動，並根據各種運作狀態檢查定義提醒。AMS 會調查適用 AWS 服務的提醒，而對這些服務的使用產生負面影響的提醒會導致事件的建立。AMS 會彙總和儲存因 CloudWatch、CloudTrail 和 Amazon S3 中系統日誌中的所有操作所產生的所有日誌。您可以要求設定其他提醒。除了 AMS 的預防性控制之外，AMS 部署組態防護機制和偵測性控制，以持續保護您免受可能降低受管帳戶操作和安全性完整性的錯誤組態，進而強制執行您的控制，例如標記和合規。當偵測到受監控的控制項時，會產生警示，根據您可以修改的預先定義 AMS 預設值，導致資源的通知、修改或終止。

持續性管理 （備份和還原）：

AMS 會根據您決定的排程間隔，使用標準的現有 AWS Backup 功能提供資源備份。AMS 可以使用 RFC 從特定快照執行還原動作。快照間隔之間發生的資料變更是您備份的責任。您可以在排程間隔之外提交 RFC 以進行備份或快照請求。在 AWS 區域中無法使用可用區域 (AZ) 的情況下，AMS 會在您的許可下，根據受影響的堆疊的範本和可用的 EBS 快照重新建立新的堆疊，以還原受管環境。

安全性和存取管理：

AMS 提供端點安全性 (EPS)，例如設定防毒和反惡意軟體保護。您也可以使用自己的 EPS 工具和程序，不使用 AMS for EPS 使用稱為自有 EPS (BYOEPS) 的功能。AMS 也會設定您在加入期間核准的預設 AWS 安全功能，例如 AWS Identity and Access Management (IAM) 角色和 Amazon EC2 安全群組，並使用標準 AWS 工具 （例如 AWS Security Hub Amazon Macie、Amazon GuardDuty) 來監控和回應安全問題。您可以透過您提供的已核准目錄服務來管理您的使用者。如需核准的目錄服務清單，請參閱 支援的組態。

AMS 包含端點安全 (EPS)，其中包含防毒 (AV) 和反惡意軟體保護、惡意軟體和入侵偵測 (Trend Micro)。安全群組是根據堆疊範本定義，並在啟動時根據應用程式 （公有/私有） 安全群組的可見性進行修改。

透過變更管理變更請求 (RFCs) 請求存取系統。存取管理可讓您存取不同的資源，例如 Amazon EC2 執行個體 AWS Management Console、 和 APIs。在加入和聯合至 AWS 期間與 AMS Microsoft Active Directory 部署建立單向信任之後，您可以使用現有的公司登入資料進行所有互動。

修補程式管理：

AMS 會針對支援的作業系統 (OSs) 和預先安裝支援的作業系統的軟體，套用並安裝 EC2 執行個體的更新。如需支援的作業系統清單，請參閱 支援的組態。

AMS 提供兩種用於修補的模型：

在 AMS 標準修補程式中，您可以選擇每月維護時段，讓 AMS 執行大多數修補活動。AMS 會在選取的維護時段之外 （使用適當的通知） 套用重要的安全性更新，並在選取的維護時段期間套用重要的更新。AMS 還會在選取的維護時段將更新套用至基礎設施管理工具。您可以視需要從修補程式管理中排除堆疊或拒絕更新。

使用 AMS Patch Orchestrator，每個帳戶的預設維護時段由您定義，以便 AMS 執行修補活動。您可以為 AMS 排程額外的自訂維護時段，以使用標籤修補您定義的一組特定執行個體。AMS 會套用所有可用的更新，但您可以透過建立自訂修補程式基準來篩選或拒絕更新。對於這兩種模型，如果您核准或拒絕修補程式管理下提供的更新，但之後改變主意，則需負責透過 RFC 啟動更新。AMS 會追蹤資源的修補程式狀態，並在每月業務審查中反白不是最新的系統。修補程式管理僅限於受管環境中的堆疊，包括所有 AMS 受管應用程式和支援具有修補功能的 AWS 服務 （例如 RDS)。為了在更新發佈時支援所有類型的基礎設施組態，AMS a) 會更新 EC2 執行個體，b) 提供更新的 AMS AMI 供您使用。您有責任安裝、設定、修補和監控上述未特別涵蓋的任何其他應用程式。

變更管理：

AMS 變更管理是您控制受管環境中變更的機制。AMS 使用預防性和偵測性控制的組合來促進此程序，並根據選取的 AMS 模式提供不同層級的控制和相關聯的風險。

AMS 環境中的所有動作都會登入 AWS CloudTrail。

如需 AMS 變更管理和不同模式的詳細資訊，請參閱 AMS 變更管理指南和 AMS 模式。

自動化和自助式佈建管理：

您可以在 AMS Advanced 上以多種方式佈建 AWS 資源：

事件管理：

AMS 會主動通知您 AMS 偵測到的事件。AMS 會回應客戶提交和 AMS 產生的事件，並根據事件優先順序解決事件。除非另有指示，否則 AMS 判斷對您受管環境的安全有風險的事件，以及與 AMS 和其他 AWS 服務可用性相關的事件，都會主動採取行動。一旦收到您的授權，AMS 就會對所有其他事件採取動作。問題管理程序會處理週期性事件。

問題管理：

AMS 執行趨勢分析以識別和調查問題，並識別根本原因。問題可透過解決方法或永久解決方案來修復，以防止未來再次發生類似的服務影響。解決後，可能會針對任何「高」事件請求事件後報告 (PIR)。PIR 會擷取根本原因和採取的預防性動作，包括實作預防性措施。

報告：

AMS 為您提供每月服務報告，摘要 AMS 的關鍵績效指標，包括執行摘要和洞察、營運指標、受管資源、AMS 服務水準協議 (SLA) 合規性，以及有關支出、節省和成本最佳化的財務指標。報告是由指派給您的 AMS 雲端服務交付管理員 (CSDM) 交付。

服務請求管理：

若要請求受管環境、AMS AWS 或服務產品的相關資訊，請使用 AMS 主控台提交服務請求。您可以提交「如何」服務與功能相關問題 AWS 的服務請求，或請求其他 AMS 服務。

服務台：

AMS 為全職 Amazon 員工提供工程操作，以滿足非自動化的請求，包括事件管理、服務請求管理和變更管理。服務台全年無休運作。

指定的資源：

每個客戶都會獲指派 Cloud Service Delivery Manager (CSDM) 和 Cloud Architect (CA)。

開發人員模式：

此功能可讓您除了存取 AMS 變更管理程序之外，還允許直接存取 AWS 服務 APIs 和 AWS 主控台，以快速迭代 AMS 設定帳戶 【1】 內的基礎設施設計和部署。在變更管理程序之外使用開發人員模式許可佈建或設定的資源是您管理的責任 （請參閱「自動化和自助式佈建管理」)。透過 AMS 變更管理程序佈建的資源受到支援，就像 AMS 上其他變更管理佈建的工作負載一樣。

AWS 支援：

AMS 客戶可以選擇其補充 AMS 營運計畫所需的 AWS Support 層級。在 AMS 中註冊的帳戶可以訂閱商業支援或企業支援。若要了解 Support Plans 的差異，請參閱 AWS Support Plans。

客戶受管帳戶：

此功能可讓您在相同的受管環境中請求 AWS 帳戶，但工作負載和這些帳戶中 AWS 資源的持續操作是您的責任。AMS 會佈建客戶受管帳戶，但一旦帳戶建立，就不會將其他 AMS 功能或服務提供給這些帳戶。AWS 不會在企業級進階支援中註冊客戶受管帳戶。您有責任以您選擇的支援費率在 AWS 支援中註冊客戶受管帳戶。

防火牆管理：

AMS 為支援的防火牆服務提供選用的受管防火牆解決方案，可針對受管環境中的網路啟用網際網路繫結輸出流量篩選。這不包括未使用 AWS 網路基礎設施且其流量直接進入網際網路的公有服務。此解決方案結合了領先業界的防火牆技術與 AMS 基礎設施管理功能，以部署、監控、管理、擴展和還原防火牆基礎設施。