本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AMS 責任矩陣 (RACI)
注意
為了及時履行其義務,AWS Managed Services (AMS) 可能需要您輸入以決定適當的行動方案。AMS 會聯絡指定的客戶聯絡人,以取得所有這類釐清和輸入。AMS 預期會在 24 個工作天內回應這類查詢。如果 24 個工作小時內沒有回覆,AMS 可能會代表您選擇動作。
AMS 負責、負責、諮詢和告知或 RACI,矩陣會將主要責任指派給客戶或 AMS 以進行各種活動。
AMS 會管理您的 AWS 基礎設施。下表提供客戶和 AMS 在 AMS 受管環境中執行之應用程式生命週期中活動的責任概觀。
AMS 不負責客戶受管帳戶或在其中執行的基礎設施的任何下列活動;因此,此 RACI 不適用。
R 代表負責的一方,負責執行工作以達成任務。
C 代表已諮詢的對象;尋求意見的對象,通常是主題專家;以及與之進行雙邊溝通的對象。
我代表知情的一方,通常是在任務完成或可交付項目時收到進度通知的一方。
自助式佈建是指客戶透過 AWS API 或主控台使用自助式佈建的資源,包括開發人員模式和自助式佈建服務。
注意
有些區段同時包含 AMS 和客戶的 'R'。這是因為在 AWS 共同責任模型中,AMS 和客戶都擁有共同所有權來回應基礎設施和應用程式問題。
為了提供自助式佈建功能,AMS 已建立具有許可界限的提升 IAM 角色,以限制來自直接 AWS 服務存取的意外變更。角色不會阻止所有變更,而且您有責任遵守內部控制、合規,並驗證使用的所有 AWS 服務是否符合必要的認證。我們將此稱為自助式佈建模式。如需 AWS 合規要求的詳細資訊,請參閱AWS 合規
。 對於您透過自助服務佈建的資源,AMS 提供事件管理、偵測控制和防護機制、報告、指定資源 (Cloud Service Delivery Manager 和 Cloud Architect)、安全與存取,以及透過服務請求的技術支援。此外,在適用的情況下,您需為在 AMS 變更管理系統之外佈建或設定的資源承擔持續性管理、修補程式管理、基礎設施監控和變更管理的責任。
| 活動 | 客戶 |
AWS Managed Services (AMS) |
|---|---|---|
應用程式生命週期 | ||
應用程式開發 |
R |
I |
應用程式基礎設施需求分析和設計 |
R |
C |
非標準 AMS 堆疊的設計和最佳化 |
R |
C |
AMS 標準堆疊的設計和最佳化 |
I |
R |
應用程式部署 |
R |
C |
AWS 基礎設施部署 |
C |
R |
應用程式監控 |
R |
I |
應用程式測試/最佳化 |
R |
I |
AWS 基礎設施最佳化指引 |
I |
R |
AWS 基礎設施監控 |
I |
R |
疑難排解和解決應用程式問題 |
R |
C |
故障診斷和解決 AWS 網路問題 |
C |
R |
對作業系統和基礎設施問題進行故障診斷和解決 自助式佈建 |
C |
R |
R |
C | |
應用程式和 ITSM 整合 | ||
應用程式與 AWS 服務方案整合 |
R |
C |
ITSM 與 AWS Managed Services Interface 整合 |
R |
C |
聯網 | ||
受管環境 VPC 和 VPC 設定和組態 |
C |
R |
為 VPCs 配置私有地址空間 (例如 /16) |
R |
C |
設定和操作非 AWS Managed Services、客戶受管Firewalls/Proxy/Bastions/HOSTs |
R |
C |
在受管環境中設定和操作 AWS 安全Groups/NAT/Customer堡壘/NACL |
I |
R |
客戶網路內的聯網 (例如 DirectConnect) 組態和實作 |
R |
C |
受管環境中的網路組態和實作 |
C |
R |
受管環境組態 | ||
定義基準堆疊範本的預設 Auto Scaling 設定 |
I |
R |
建議 RI 最佳化 |
C |
R |
購買 RI 和 PIOP 容量 |
R |
C |
當容量過度佈建時移除容量 (客戶應用程式支援時) |
C |
R |
建立/更新 AWS Managed Services 的 AWS 客戶特定資訊 |
C |
R |
S3 組態 自助式佈建 |
C |
R |
R |
C | |
Glacier 組態 |
C |
R |
定義封存政策 |
R |
C |
封存政策組態 |
C |
R |
選取客戶維護時段 |
R |
I |
AWS RDS 管理 | ||
監控source/replica/RO複寫運作狀態 |
I |
R |
識別來源容錯移轉的 RCA |
I |
R |
自動化快照 (備份) 組態 自助式佈建 |
C |
R |
R |
C | |
協調和排程資料庫引擎修補程式管理 自助式佈建 |
C |
R |
R |
C | |
建議資料庫儲存和 PIOP 容量 自助式佈建 |
C |
R |
R |
C | |
建議執行中資料庫的執行個體大小 自助式佈建 |
C |
R |
R |
C | |
建議受管環境的 RI 最佳化 自助式佈建 |
C |
R |
R |
C | |
RDS 效能監控 (CloudWatch) 自助式佈建 |
C |
R |
R |
C | |
RDS 事件訂閱組態 (SNS) 自助式佈建 |
C |
R |
R |
C | |
RDS 安全群組組態 自助式佈建 |
C |
R |
R |
C | |
RDS 引擎參數/選項組態 |
R |
C |
資料庫資料表設計 |
R |
I |
資料庫索引 |
R |
I |
資料庫日誌分析 |
R |
I |
AMS 變更管理 | ||
| 建立客戶 RFCs(例如,存取creating/updating/deleting受管堆疊的資源、部署/更新應用程式、變更 AWS 服務方案的組態) | R |
I |
| 核准客戶 RFCs | I |
R |
| 建立 AWS Managed Services RFCs(例如存取 資源、代表客戶建立資源、將更新套用至作業系統,做為修補程式管理的一部分) | I |
R |
| 核准非自動化 RFCs | R |
I |
| 提交新變更類型的請求 | R |
C |
| 建立新的變更類型 | I |
R |
| 應用程式變更行事曆的維護 |
R |
C |
| 即將到來的維護時段通知 |
I |
R |
AWS Service Catalog | ||
| 建立產品組合和產品 |
R |
I |
| 將產品分發給最終使用者 |
R |
I |
| 建立標籤和標籤選項程式庫 |
R |
C |
| 與最終使用者共用產品組合和產品 |
R |
I |
| 修訂/更新產品組合和產品 |
R |
I |
| 建立和指派限制給產品組合和產品 |
R |
C |
| 將服務動作與 產品建立關聯 |
R |
C |
| 使用新版產品更新佈建的資源 |
R |
I |
佈建 | ||
| AWS Managed Services 基準 AMI 的客戶特定新增項目 | R |
C |
| 設定用於佈建堆疊範本的其他已核准變更類型 | C |
R |
啟動透過 AMS 變更管理程序或 AWS Service Catalog 提交的受管 Stacks 和相關聯的 AWS 資源。 自助式佈建 |
I |
R |
R |
I | |
| 在透過 AMS 變更管理程序或 AWS Service Catalog 佈建的執行個體上安裝/更新自訂和第三方應用程式。 |
R |
I |
佈建 - 堆疊架構 | ||
提供作業系統授權 (包括適用 AWS 服務的使用費,例如 EC2 和 RDS) 自助式佈建 |
I |
R |
R |
I | |
透過 AMS 變更管理系統定義應用程式部署的基準基礎設施範本 (堆疊)。 自助式佈建 |
I |
R |
R |
I | |
| 建立基準核准的 AMIs8 | I |
R |
| 評估客戶應用程式庫存,並判斷是否符合可用的基礎設施範本 (堆疊) | R |
C |
| 定義除了基準範本產品之外的唯一 Stacks |
R |
C |
記錄、監控和事件管理 | ||
| 記錄 AWS 基礎設施變更日誌 | I |
R |
| 記錄所有應用程式變更日誌 | R |
C |
透過 AMS 變更管理程序佈建之 AWS 基礎設施的修補、安全性、監控等代理程式和指令碼的安裝和組態。 自助式佈建 |
I |
R |
R |
C | |
| 定義客戶特定的監控和事件需求 | R |
C |
| 設定受管環境的警示 | I |
R |
監控所有 AMS 設定的提醒 自助式佈建 |
I |
R |
R |
C | |
調查事件通知的基礎設施提醒 自助式佈建 |
I |
R |
R |
C | |
| 調查應用程式警示 | R |
C |
事件管理 | ||
根據監控主動通知 AWS 基礎設施上的事件 自助式佈建 |
I |
R |
R |
C | |
| 處理應用程式效能問題和中斷 | R |
I |
| 分類事件優先順序 | I |
R |
| 提供事件回應 | I |
R |
提供事件解決方案/基礎設施還原 注意SLAs 不適用於在 AMS 變更管理之外佈建的執行個體型資源,包括使用自助式佈建和開發人員模式佈建的資源。 |
C |
R |
問題管理 | ||
| 識別受管環境中的問題 | C |
R |
| 針對受管環境中的問題執行 RCA | C |
R |
| 修復受管環境中的問題 | C |
R |
| 識別和修復應用程式問題 | R |
I |
安全管理 | ||
客戶基礎設施安全性和/或在客戶加入期間確定和同意的安全合規程序基準。 自助式佈建 |
C |
R |
R |
C | |
| 維護受管 EPS 的有效授權 | R |
C |
設定受管 EPS 自助式佈建 |
I |
R |
R |
C | |
更新受管 EPS 自助式佈建 |
I |
R |
R |
C | |
在透過 AMS CM 程序佈建的執行個體上監控惡意軟體。 自助式佈建 |
I |
R |
R |
C | |
維護和更新病毒簽章。 自助式佈建 |
I |
R |
R |
C | |
修復受惡意軟體感染的執行個體。 自助式佈建 |
C |
R |
R |
C | |
| 安全事件管理 | C |
R |
安全性 - 存取管理 | ||
| 管理使用者的生命週期及其本機目錄服務的許可,這些許可用於存取 AWS Managed Services | R |
I |
| 操作聯合身分驗證系統 (為客戶存取 AWS 主控台/APIs) | R |
C |
| 接受並維護從 AWS Managed Services AD 到客戶受管 AD 的 Active Directory (AD) 信任 | R |
C |
| 在加入期間,在每個受管帳戶中建立跨帳戶 IAM 管理員角色 | R |
C |
| 保護每個帳戶的 AWS 根登入資料 | I |
R |
| 定義受管環境的 IAM 資源 | C |
R |
| 管理 AMS 工程師作業系統存取的特權憑證 | I |
R |
| 管理 AMS 提供給客戶的作業系統存取權限憑證 | R |
I |
安全事件回應 - 準備 | ||
通訊 | ||
提供 AMS 在安全事件通知和安全呈報期間使用的客戶安全聯絡人詳細資訊 |
R |
I |
存放和管理提供的客戶安全聯絡人詳細資訊,以便在安全事件和安全呈報期間使用 |
CIS |
R |
訓練 | ||
在事件回應程序期間為客戶提供支援 AMS 的文件 |
I |
R |
透過安全遊戲日在事件回應程序期間練習共同的責任 |
RI |
RC |
資源管理 | ||
設定支援的 AWS 服務 警示、警示關聯性、降噪和其他規則的安全管理 |
I |
R |
維護資產 (AWS 資源) 庫存,並了解資產的資產價值和重要性。此資訊在事件遏制策略期間很有幫助 |
R |
CIS |
使用 AWS 標籤來識別資源和工作負載 |
R |
CIS |
定義和設定日誌保留和封存 |
CIS |
R |
安全基準 AWS 帳戶、組態、政策和存取管理 |
CIS |
RC |
安全事件回應 - Detect | ||
記錄、指標和監控 | ||
設定記錄和監控,以啟用執行個體和帳戶的事件管理 |
CIS |
R |
監控 AWS 服務 支援的安全提醒 |
I |
R |
部署和管理端點安全工具 |
CIS |
R |
使用 AMS 支援的端點安全工具監控執行個體上的惡意軟體 |
I |
R |
透過傳出訊息通知客戶偵測到的事件 |
I |
R |
針對特定帳戶和工作負載的決策者傳送通知和任何後續更新,以改善事件回應時間 |
R |
CIS |
定義、部署和維護 AMS 標準偵測服務 (例如 Amazon GuardDuty 和 AWS Config) |
CIS |
R |
記錄 AWS 基礎設施變更日誌 |
I |
RC |
啟用和設定記錄、監控以啟用應用程式的事件管理 |
R |
C |
在支援 AWS 的安全服務 (例如 Amazon GuardDuty上實作和維護允許清單、拒絕清單和自訂偵測 |
RCI |
R |
安全事件報告 | ||
通知 AMS 可疑活動或作用中的安全調查 |
R |
CIS |
將偵測到的安全事件和事件通知客戶 |
I |
R |
通知可能觸發安全事件回應程序的計劃事件 |
R |
CIS |
安全事件回應 - 分析 | ||
調查和分析 | ||
對受支援偵測來源產生的受支援安全提醒執行初始回應 |
I |
RC |
使用可用資料評估 false/true 陽性 |
RI |
RC |
視需要產生要與客戶共用之受影響執行個體的快照 |
I |
R |
執行鑑識任務,例如監管鏈、檔案系統分析、記憶體鑑識和二進位分析 |
R |
CIS |
收集應用程式日誌以協助調查 |
R |
I |
收集資料和日誌,以協助調查安全提醒 |
RCI |
RC |
讓 中的SMEs AWS 服務 參與安全調查 |
CIS |
R |
在調查期間與第三方供應商互動 (例如,針對 EPS 反惡意軟體調查和與 TrendMicro 支援團隊互動) |
RCI |
I |
在調查期間,將受支援的調查日誌分享 AWS 服務 給客戶 |
I |
R |
通訊 | ||
從受管資源的 AMS 偵測來源傳送提醒和通知 |
I |
R |
管理應用程式安全事件的提醒和通知 |
R |
I |
在安全事件調查期間與客戶安全聯絡人互動 |
R |
I |
安全事件回應 - 包含 | ||
遏制策略和執行 | ||
決定執行商定的遏制策略,並同意可能會影響遏制時段內服務可用性的後果 |
R |
CIS |
備份受影響的系統以進行進一步分析 |
CIS |
R |
包含應用程式和工作負載 (透過應用程式特定的組態或回應活動) |
R |
CIS |
根據安全事件和受影響的資源定義遏制策略 |
CIS |
R |
啟用受影響系統時間點備份的加密和安全儲存 |
CIS |
R |
執行支援 AWS 的資源遏制動作,包括 EC2 執行個體、網路和 IAM |
CIS |
R |
安全事件回應 - 根除 | ||
根除策略和執行 | ||
根據安全事件和客戶應用程式工作負載上受影響的資源來定義根除選項 |
R |
CIS |
決定同意的根除策略、根除執行的時間,以及後果 |
R |
CIS |
根據 AMS 受管工作負載上的安全事件和受影響的資源定義根除步驟 |
CIS |
R |
根除和強化 AWS 資源,包括 EC2 執行個體、網路和 IAM 根除 |
CIS |
R |
消除和強化應用程式和工作負載 (透過應用程式特定的組態或回應活動) |
R |
I |
安全事件回應 - 復原 | ||
復原準備和執行 | ||
依客戶要求設定備份計劃和目標 |
R |
I |
檢閱備份計劃以還原 AMS 受管工作負載 |
CIS |
R |
針對支援的資源執行備份還原活動 AWS 服務 |
I |
R |
備份客戶應用程式、應用程式組態和部署設定,並檢閱備份計畫,以在事件發生後還原客戶應用程式和工作負載 |
R |
I |
還原應用程式和客戶工作負載 (透過應用程式特定的還原步驟) |
R |
I |
安全事件回應 – 事件後報告 | ||
事件後報告 | ||
視需要與客戶事後事件分享適當的經驗教訓和行動項目 |
I |
R |
修補程式管理9 | ||
監控 EC2 執行個體支援的作業系統和預先安裝之作業系統適用的更新。 自助式佈建 |
I |
R |
R |
C | |
| 通知客戶即將進行的更新 (僅適用於 AMS 標準修補程式) | I |
R |
| 從修補活動排除特定更新和/或特定堆疊 | R |
I |
定義預設和自訂維護時段排程和其他參數 (例如維護時段持續時間) 以套用修補程式 (適用於 AMS 修補程式 僅限協調器) |
R |
I |
| 定義自訂修補程式基準以篩選和排除特定修補程式 (僅適用於 AMS Patch Orchestrator) | R |
I |
| 標記執行個體以將其與自訂維護時段和修補程式基準建立關聯 (僅適用於 AMS Patch Orchestrator) | R |
I |
追蹤資源的修補程式狀態,並在每月業務審核中反白非最新的系統。 |
C |
R |
修補 Windows 作業系統,以及安裝在受 Windows Update 管理之作業系統上的 Microsoft 套件 自助式佈建 |
I |
R |
R |
- | |
| 修補程式安裝的應用程式、軟體或應用程式相依性不受 Windows Update 管理 自助式佈建 |
R |
I |
R |
- | |
修補 Linux 作業系統和作業系統原生套件管理員啟用管理的任何套件 (例如 Yum、Apt、Zypper) 自助式佈建 |
I |
R |
R |
- | |
修補程式安裝的應用程式、軟體或應用程式相依性,並非由 Linux 作業系統的原生套件管理員管理 自助式佈建 |
R |
I |
R |
- | |
持續性管理 | ||
| 指定備份排程 | R |
I |
依排程執行備份。 自助式佈建 |
I |
R |
R |
C | |
| 驗證備份 | R |
I |
| 請求備份還原活動 | R |
I |
執行備份還原活動。 自助式佈建 |
I |
R |
R |
C | |
還原受影響的堆疊和 VPCs。 自助式佈建 |
I |
R |
R |
C | |
| 還原受影響的自訂/第三方應用程式 | R |
C |
報告 | ||
準備和交付每月服務報告 上的 AMS AWS Outposts |
I |
R |
R |
I | |
隨需設定和擷取 API 稽核歷史記錄 (CloudTrail)。 自助式佈建 |
I |
R |
R |
I | |
| 透過 AWS Managed Services Interface 提供事件歷史記錄的存取權 | I |
R |
透過 AWS Managed Services Interface 提供變更歷史記錄的存取權。 自助式佈建 |
I |
R |
N/A |
N/A | |
服務請求管理 | ||
| 使用服務請求請求資訊 | R |
I |
| 回覆服務請求 | I |
R |
受管防火牆 | ||
| 請求部署 AMS 受管防火牆 | R |
I |
| AMS 受管防火牆架構的設計和最佳化 | I |
R |
| 部署 AWS Infrastructure 和 AMS 受管防火牆設備 | I |
R |
| 提供防火牆授權 (包括適用 AWS 服務的使用費 – 例如 EC2) | R |
I |
| 定義預設網域允許清單 | I |
R |
| 請求新增、修改和刪除自訂允許清單和安全性政策 | R |
I |
| 設定 AMS 受管防火牆的警示 | I |
R |
| 監控所有 AMS 受管防火牆設定的提醒 | I |
R |
| 執行防火牆組態的備份 | I |
R |
| 請求備份還原活動 | R |
I |
| 使用新版產品更新佈建的資源 | I |
R |
| 記錄 AMS 受管防火牆日誌 | I |
R |
| 將日誌從 AMS 受管防火牆轉送至 CloudWatch | I |
R |
| 在 AMS 受管防火牆中請求組態變更 | R |
I |
| 在 AMS 受管防火牆中核准組態變更 | I |
R |
| 在 AMS 受管防火牆中執行組態變更 | I |
R |
8AMS 僅提供 Amazon EC2 AMIs
9AMS 只有在客戶與OSes廠商簽署延長支援協議時,才會負責生命週期結束作業系統
