本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
共用服務帳戶
共用服務帳戶可做為大多數 AMS 資料平面服務的中樞。帳戶包含存取管理 (AD)、端點安全管理 (Trend Micro) 所需的基礎設施和資源,並包含客戶堡壘 (SSH/RDP)。 共享服務帳戶中包含的資源的高階概觀如下圖所示。
共用服務 VPC 由三個可用區域 (AZs) 中的 AD 子網路、EPS 子網路和客戶堡壘子網路組成。共享服務 VPC 中建立的資源列於下方,需要您的輸入。
共用服務 VPC CIDR 範圍:建立 VPC 時,您必須以無類別網域間路由 (CIDR) 區塊的形式指定 VPC 的 IPv4 地址範圍;例如 10.0.1.0/24。這是您 VPC 的主要 CIDR 區塊。
注意
AMS 團隊建議 /23 的範圍。
Active Directory 詳細資訊:Microsoft Active Directory (AD) 用於所有 AMS 多帳戶登陸區域帳戶的使用者/資源管理、身分驗證/授權和 DNS。AMS AD 也會設定對 Active Directory 的單向信任,以進行信任型身分驗證。建立 AD 需要下列輸入:
網域完整網域名稱 (FQDN):AWS Managed Microsoft AD 目錄的完整網域名稱。網域不應是您網路中現有網域的現有網域或子網域。
網域 NetBIOS 名稱:如果您未指定 NetBIOS 名稱,AMS 會將名稱預設為目錄 DNS 的第一部分。例如,DNS corp.example.com 目錄的 corp。
Trend Micro – 端點保護安全 (EPS):Trend Micro 端點保護 (EPS) 是 AMS 中用於作業系統安全的主要元件。系統包含 Deep Security Manager (DSM)、EC2 執行個體、轉送 EC2 執行個體,以及存在於所有資料平面和客戶 EC2 執行個體中的代理程式。
您必須在
EPSMarketplaceSubscriptionRole共用服務帳戶中擔任 ,並訂閱 Trend Micro Deep Security (BYOL) AMI 或 Trend Micro Deep Security (Marketplace)。建立 EPS 需要下列預設輸入 (如果您想要從預設值變更):
轉送執行個體類型:預設值 - m5.large
DSM 執行個體類型:預設值 - m5.xlarge
資料庫執行個體大小:預設值 - 200 GB
RDS 執行個體類型:預設值 - db.m5.large
客戶堡壘:共用服務帳戶中會提供 SSH 或 RDP 堡壘 (或兩者),供您存取 AMS 環境中的其他主機。若要以使用者身分存取 AMS 網路 (SSH/RDP),您必須使用「客戶」堡壘做為進入點。網路路徑源自內部部署網路,經過 DX/VPN 到傳輸閘道 (TGW),然後路由到共用服務 VPC。一旦您能夠存取堡壘,就可以跳到 AMS 環境中的其他主機,前提是已授予存取請求。
SSH 堡壘需要下列輸入。
SSH 堡壘所需執行個體容量:預設值 - 2。
SSH 堡壘上限執行個體:預設值 - 4。
SSH 堡壘最小執行個體:預設值 -2。
SSH 堡壘執行個體類型:預設值 - m5.large (可以變更為節省成本,例如 t3.medium)。
SSH 堡壘傳入 CIDRs:您網路中的使用者存取 SSH 堡壘的 IP 地址範圍。
-
Windows RDP 堡壘需要下列輸入。
RDP 堡壘執行個體類型:預設值 - t3.medium。
RDP 堡壘所需最短工作階段:預設值 - 2。
RDP 工作階段上限:預設值 -10。
RDP 堡壘組態類型:您可以選擇下列其中一個組態
SecureStandard = 使用者會收到一個堡壘,只有一個使用者可以連接到堡壘。
SecureHA = 使用者在兩個不同的可用區域中接收兩個堡壘以連接到 ,只有一個使用者可以連接到堡壘。
SharedStandard = 使用者會收到一個要連線的堡壘,兩個使用者可以一次連線到相同的堡壘。
SharedHA = 使用者可以在兩個不同的可用區域中接收兩個堡壘以連接到 ,而兩個使用者可以一次連接到相同的堡壘。
客戶 RDP 傳入 CIDRs:IP 地址範圍,您網路中的使用者將從其中存取 RDP 堡壘。
