Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Planen Sie Ihren Einsatz
Dieser Abschnitt hilft Ihnen bei der Planung Ihrer Kosten, Sicherheit, AWS-Regionen und Bereitstellungstypen für die Cloud Migration Factory on AWS-Lösung.
# Cost (Kosten)
Sie sind für die Kosten der AWS-Services verantwortlich, die beim Betrieb dieser Lösung verwendet werden. Zum jetzigen Zeitpunkt belaufen sich die geschätzten Kosten für den Betrieb dieser Lösung mit Standardeinstellungen in der Region USA Ost (Nord-Virginia) und unter der Annahme, dass Sie mit dieser Lösung 200 Server pro Monat migrieren, auf etwa **14,31\$1 pro** Monat. Die Kosten für den Betrieb dieser Lösung hängen von der Menge der Daten ab, die geladen, angefordert, gespeichert, verarbeitet und dargestellt werden, wie in der folgenden Tabelle dargestellt.
| AWS Service | Faktoren | Kosten/Monat [USD] |
| --- | --- | --- |
| **Kerndienste** | | |
| Amazon API Gateway | 10.000 requests/month x (3,50 USD/Million) | 0,035\$1 |
| AWS Lambda | 10.000 Aufrufe/Monat (durchschnittliche Dauer 3.000 ms und 128 MB Speicher) | 0,065 US-Dollar |
| Amazon DynamoDB | 20.000 Schreibvorgänge requests/month (1,25\$1 pro Million \$1) 40.000 Lesevorgänge requests/month x (0,25 USD/Million \$1) Datenspeicher: 1 GB x 0,25\$1 | 0,035\$1 |
| Amazon S3 | Speicherplatz (10 MB) und 50.000 Abrufanfragen/Monat | 0,25\$1 |
| Amazon CloudFront | Regionale Datenübertragung ins Internet: die ersten 10 TB Regionaler Datentransfer zum Ursprung: gesamte Datenübertragung HTTPS-Anfragen: 50.000 requests/month X (0,01 \$1/10.000 Anfragen) | 0,92\$1 |
| AWS Systems Manager | 10.000 Schritte/Monat | 0,00\$1 |
| AWS Secrets Manager | 5 Geheimnisse x Dauer von 30 Tagen | 2,00\$1 |
| Amazon Cognito (direkte Anmeldung) | Bis zu 50.000 aktive Benutzer pro Monat (MAUs), abgedeckt durch das kostenlose AWS-Kontingent | 0,00\$1 |
| Amazon Athena | 10 MB täglich x 5,00 USD pro TB gescannter Daten | 0,0015\$1 |
| **Optionale Dienstleistungen** | | |
| AWS Glue (optionaler Migrations-Tracker) | 2 Minuten täglich x Standard 10 DPU x 0,44\$1 pro DPU-Stunde | 4,40\$1 |
| AWS WAF | 2 Web ACLs 5,00\$1 pro Monat (anteilig stündlich) 2 Regeln 1,00\$1 pro Monat (anteilig stündlich) 10.000 Anfragen x (0,60\$1 pro 1 Million Anfragen) | 6,60\$1 |
| Amazon Cognito (SAML-Anmeldung) | Bis zu 50\$1, MAUs abgedeckt durch AWS Free TierAbove 50 MAUs, 0,015 USD/MAU | 0,00\$1 |
| | **Insgesamt:** | **\$114,31 \$1/Monat** |
## (Empfohlen) Stellen Sie eine Amazon Elastic Compute Cloud-Instanz bereit, um die Ausführung von Automatisierungsskripten zu unterstützen
Wir empfehlen die Bereitstellung einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance, um die Verbindung zu den APIs der Lösung und den AWS Boto3-APIs mit IAM-Rollen zu automatisieren. Bei der folgenden Kostenschätzung wird davon ausgegangen, dass sich die Amazon EC2 EC2-Instance in der `us-east-1` Region befindet und acht Stunden am Tag, fünf Tage die Woche läuft.
| AWS Service | Faktoren | Kosten/Monat [USD] |
| --- | --- | --- |
| Amazon EC2 | 176 Stunden pro Monat x 0,1108 USD/Stunde () `t3.large` | 19,50\$1 |
| Amazon Elastic Block Store (Amazon EBS) | 30 GB x 0,08 USD/GB-Monat (gp3) x (176 Stunden/720 Stunden) | 0,59\$1 |
| | **Insgesamt:** | **\$120,09 \$1** |
Die Preise sind freibleibend. Vollständige Informationen finden Sie auf der Preisseite für jeden AWS-Service, den Sie in dieser Lösung verwenden werden.
# Sicherheit
Wenn Sie Systeme auf der AWS-Infrastruktur aufbauen, werden die Sicherheitsaufgaben zwischen Ihnen und AWS aufgeteilt. Dieses [gemeinsame Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) kann Ihren betrieblichen Aufwand reduzieren, da AWS die Komponenten vom Host-Betriebssystem und der Virtualisierungsebene bis hin zur physischen Sicherheit der Einrichtungen, in denen die Services betrieben werden, betreibt, verwaltet und kontrolliert. Weitere Informationen zur Sicherheit auf AWS finden Sie unter [AWS Cloud Security](https://aws.amazon.com/security).
## IAM-Rollen
Mit AWS Identity and Access Management (IAM) -Rollen können Sie Services und Benutzern in der AWS-Cloud detaillierte Zugriffsrichtlinien und -berechtigungen zuweisen. Diese Lösung erstellt IAM-Rollen, die der AWS Lambda Lambda-Funktion Zugriff auf die anderen in dieser Lösung verwendeten AWS-Services gewähren.
## Amazon Cognito
Der mit dieser Lösung erstellte Amazon Cognito Cognito-Benutzer ist ein lokaler Benutzer mit Berechtigungen, nur auf den Rest APIs für diese Lösung zuzugreifen. Dieser Benutzer hat keine Berechtigungen, auf andere Services in Ihrem AWS-Konto zuzugreifen. Weitere Informationen finden Sie unter [Amazon Cognito User Pools](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) im *Amazon Cognito Developer Guide*.
Die Lösung unterstützt optional die externe SAML-Anmeldung über die Konfiguration von Federated Identity Providers und die gehostete UI-Funktionalität von Amazon Cognito.
## Amazon CloudFront
Diese Standardlösung stellt eine Webkonsole bereit, die in einem Amazon S3 S3-Bucket [gehostet wird](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html). Um die Latenz zu reduzieren und die Sicherheit zu verbessern, umfasst diese Lösung eine [ CloudFrontAmazon-Distribution](https://aws.amazon.com/cloudfront/) mit einer Ursprungszugriffsidentität. Dabei handelt es sich um einen speziellen CloudFront Benutzer, der den öffentlichen Zugriff auf die Inhalte des Website-Buckets der Lösung ermöglicht. Weitere Informationen finden Sie unter [Beschränken des Zugriffs auf Amazon S3 S3-Inhalte mithilfe einer Origin-Zugriffsidentität](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) im *Amazon CloudFront Developer Guide*.
Wenn bei der Stack-Bereitstellung ein **privater** Bereitstellungstyp ausgewählt wird, wird keine CloudFront Distribution bereitgestellt und erfordert, dass ein anderer Webhosting-Dienst zum Hosten der Webkonsole verwendet wird.
## AWS WAF — Firewall für Webanwendungen
Wenn der im Stack gewählte Bereitstellungstyp Öffentlich mit [AWS WAF](https://aws.amazon.com/waf/) ist, CloudFormation werden das erforderliche AWS WAF WAF-Web ACLs und die Regeln bereitgestellt, die für den Schutz CloudFront, das API Gateway und die Cognito-Endpunkte konfiguriert sind, die von der CMF-Lösung erstellt wurden. Diese Endpunkte werden so eingeschränkt, dass nur bestimmte Quell-IP-Adressen auf diese Endpunkte zugreifen können. Während der Stack-Bereitstellung müssen zwei CIDR-Bereiche mit der Möglichkeit ausgestattet werden, nach der Bereitstellung über die AWS-WAF-Konsole zusätzliche Regeln hinzuzufügen.
**Wichtig**
Stellen Sie bei der Konfiguration von WAF-IP-Einschränkungen sicher, dass die IP-Adresse Ihres CMF-Automatisierungsservers oder der ausgehenden NAT-Gateway-IP in den zulässigen CIDR-Bereichen enthalten ist. Dies ist entscheidend für das reibungslose Funktionieren von CMF-Automatisierungsskripten, die auf die API-Endpunkte der Lösung zugreifen müssen.
## Amazon API Gateway
Diese Lösung stellt Amazon API Gateway REST bereit APIs und verwendet den Standard-API-Endpunkt und das SSL-Zertifikat. Der Standard-API-Endpunkt unterstützt TLSv1 Sicherheitsrichtlinien. Es wird empfohlen, die Sicherheitsrichtlinie TLS\$11\$12 zu verwenden, um TLSv1 .2\$1 mit Ihrem eigenen benutzerdefinierten Domainnamen und einem benutzerdefinierten SSL-Zertifikat durchzusetzen. Weitere Informationen finden Sie unter [Auswahl einer TLS-Mindestversion für eine benutzerdefinierte Domain in API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html) und [Konfiguration benutzerdefinierter Domains](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html) im *Amazon API Gateway Developer Guide*.
## Amazon CloudWatch Alarms//Kanaren
Mit CloudWatch Amazon-Alarmen können Sie überwachen, ob die Funktions- und Sicherheitsannahmen der Lösung eingehalten werden. Die Lösung umfasst Protokollierung und Metriken für AWS Lambda Lambda-Funktionen und API Gateway Gateway-Endpunkte. Wenn für Ihren speziellen Anwendungsfall zusätzliche Überwachung erforderlich ist, können Sie CloudWatch Alarme zur Überwachung von Folgendem konfigurieren:
+ **API-Gateway-Überwachung:**
+ Richten Sie Alarme für 4XX- und 5XX-Fehler ein, um unbefugte Zugriffsversuche oder API-Probleme zu erkennen
+ Überwachen Sie die API-Gateway-Latenz, um die Leistung sicherzustellen
+ Verfolgen Sie die Anzahl der API-Anfragen, um ungewöhnliche Muster zu identifizieren
+ **AWS Lambda Lambda-Funktionsüberwachung:**
+ Alarme für Lambda-Funktionsfehler und Timeouts erstellen
+ Überwachen Sie die Dauer der Lambda-Funktion, um eine optimale Leistung sicherzustellen
+ Richten Sie Alarme für gleichzeitige Ausführungen ein, um Drosselungen zu verhindern
Sie können diese Alarme mit der CloudWatch Konsole oder mithilfe von CloudFormation AWS-Vorlagen erstellen. Eine ausführliche Anleitung zur Erstellung von CloudWatch Alarmen finden Sie unter [ CloudWatch Amazon-Alarme erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) im * CloudWatch Amazon-Benutzerhandbuch*.
## Vom Kunden verwaltete AWS-KMS-Schlüssel
Diese Lösung verwendet Verschlüsselung im Ruhezustand zur Sicherung von Daten und verwendet von AWS verwaltete Schlüssel für Kundendaten. Diese Schlüssel werden verwendet, um Ihre Daten automatisch und transparent zu verschlüsseln, bevor sie in Speicherebenen geschrieben werden. Einige Benutzer bevorzugen möglicherweise mehr Kontrolle über ihre Datenverschlüsselungsprozesse. Dieser Ansatz ermöglicht es Ihnen, Ihre eigenen Sicherheitsanmeldedaten zu verwalten und bietet so ein höheres Maß an Kontrolle und Transparenz. Weitere Informationen finden Sie unter [Basic Concepts](https://docs.aws.amazon.com/kms/latest/cryptographic-details/basic-concepts.html) and [AWS KMS Keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) im *AWS Key Management Service Developer Guide*.
## Aufbewahrung von Protokollen
Diese Lösung erfasst Anwendungs- und Serviceprotokolle, indem sie CloudWatch Amazon-Protokollgruppen in Ihrem Konto erstellt. Standardmäßig werden Protokolle 10 Jahre lang aufbewahrt. Sie können den LogRetentionPeriod Parameter für jede Protokollgruppe anpassen, zur unbefristeten Aufbewahrung wechseln oder je nach Ihren Anforderungen eine Aufbewahrungsdauer zwischen einem Tag und 10 Jahren wählen. Weitere Informationen finden Sie unter [Was ist Amazon CloudWatch Logs?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html#cloudwatch-logs-features) im *Amazon CloudWatch Logs-Benutzerhandbuch*.
## Amazon Bedrock
Die Lösung wählt bei der CloudFormation Stack-Bereitstellung automatisch das beste verfügbare Fundamentmodell für Ihre Region aus. Der Auswahlprozess verwendet eine Lambda-Funktion, die das erste verfügbare Modell aus dieser Prioritätsreihenfolge aufruft `list_foundation_models()` und auswählt:
1. `anthropic.claude-sonnet-4-20250514-v1:0`(Sonett 4)
1. `anthropic.claude-3-7-sonnet-20250219-v1:0`(Sonett 3.7)
1. `anthropic.claude-3-5-sonnet-20241022-v2:0`(Sonett 3.5v2)
1. `anthropic.claude-3-5-sonnet-20240620-v1:0`(Sonett 3.5)
1. `anthropic.claude-3-sonnet-20240229-v1:0`(Sonett 3)
1. `amazon.nova-pro-v1:0`(Nova Pro)
Sie müssen das ausgewählte Modell in Ihrem AWS-Konto über die Bedrock-Konsole aktivieren, um die GenAI-Funktionen nutzen zu können. Die Kernfunktionen der Lösung bleiben voll funktionsfähig, ohne dass die GenAI-Funktionen aktiviert werden. Kunden können sich dafür entscheiden, das Tool mit manuellen Eingaben zu verwenden, wenn sie die KI-gestützten Funktionen nicht nutzen möchten.
Nach der Bereitstellung finden Sie den ausgewählten Modell-ARN in den CloudFormation Stack-Ausgaben unter dem `GenAISelectedModelArn` Feld im WPMStack.
![\[CloudFormation Stack-Ausgabe mit dem ausgewählten GenAI-Modell ARN\]](http://docs.aws.amazon.com/de_de/solutions/latest/cloud-migration-factory-on-aws/images/cloudformation-genai-model-output.png)
![\[Schnittstelle zur Aktivierung von Amazon Bedrock-Modellen\]](http://docs.aws.amazon.com/de_de/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-model-enablement.png)
In der Standardkonfiguration dieser Lösung wird Amazon Bedrock Guardrails bereitgestellt, um:
+ Filtert schädliche Inhalte heraus
+ Blockieren Sie Eingabeaufforderungen, die für Ihren Anwendungsfall irrelevant sind
![\[Amazon Bedrock Guardrails-Konfigurationsoberfläche\]](http://docs.aws.amazon.com/de_de/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-guardrails.png)
Weitere Informationen finden Sie unter [Amazon Bedrock Guardrails](https://aws.amazon.com/bedrock/guardrails/). Um Guardrails in der CMF-Lösung zu deaktivieren, können Sie im Abschnitt mit den Vorlagenparametern die Option False auswählen.
# Unterstützte AWS Regionen
Diese Lösung verwendet Amazon Cognito und Amazon QuickSight, die derzeit nur in bestimmten AWS-Regionen verfügbar sind. Daher müssen Sie diese Lösung in einer Region einführen, in der diese Services verfügbar sind. Die aktuelle Serviceverfügbarkeit nach Regionen finden Sie in der [regionalen AWS-Serviceliste](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
**Anmerkung**
Die Datenübertragung während des Migrationsprozesses wird durch regionale Bereitstellungen nicht beeinträchtigt.
Cloud Migration Factory auf AWS ist in den folgenden AWS-Regionen verfügbar:
| Namen der Regionen | |
| --- | --- |
| USA Ost (Ohio) | Canada (Central) |
| USA Ost (Nord-Virginia) | \$1Kanada West (Calgary) |
| USA West (Nordkalifornien) | Europa (Frankfurt) |
| USA West (Oregon) | Europa (Irland) |
| \$1Afrika (Kapstadt) | Europa (London) |
| \$1Asien-Pazifik (Hongkong) | \$1Europa (Mailand) |
| \$1Asien-Pazifik (Hyderabad) | \$1Europa (Spanien) |
| \$1Asien-Pazifik (Jakarta) | Europa (Paris) |
| \$1Asien-Pazifik (Melbourne) | Europa (Stockholm) |
| Asien-Pazifik (Mumbai) | \$1Europa (Zürich) |
| Asien-Pazifik (Osaka) | \$1Israel (Tel Aviv) |
| Asien-Pazifik (Seoul) | \$1Naher Osten (Bahrain) |
| Asien-Pazifik (Singapur) | \$1Naher Osten (VAE) |
| Asien-Pazifik (Sydney) | Südamerika (São Paulo) |
| Asien-Pazifik (Tokio) | |
**Wichtig**
\$1Aufgrund der CloudFront Amazon-Zugriffsprotokollierung nur für private Bereitstellungen verfügbar. Aktuelle Informationen finden Sie unter [Konfiguration und Verwendung von Standardprotokollen (Zugriffsprotokollen)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html) im *Amazon CloudFront Developer Guide*.
Cloud Migration Factory auf AWS ist in den folgenden AWS-Regionen nicht verfügbar:
| Name der Region | Nicht verfügbare Dienste oder Serviceoption |
| --- | --- |
| AWS GovCloud (USA-Ost) | Amazon Cognito |
| AWS GovCloud (USA West) | Amazon Cognito |
# Kontingente
Service Quotas, auch als Limits bezeichnet, sind die maximale Anzahl von Serviceressourcen oder -vorgängen für Ihr AWS-Konto.
## Kontingente für AWS-Services in dieser Lösung
Stellen Sie sicher, dass Sie über ein ausreichendes Kontingent für jeden der [in dieser Lösung implementierten Services](aws-services-in-this-solution.md) verfügen. Weitere Informationen finden Sie unter [AWS-Servicekontingente](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
Wählen Sie einen der folgenden Links, um zur Seite für diesen Service zu gelangen. Um die Service-Kontingente für alle AWS-Services in der Dokumentation anzuzeigen, ohne zwischen den Seiten zu wechseln, sehen Sie sich stattdessen die Informationen auf der Seite [Service-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-general.pdf#aws-service-information) in der PDF-Datei an.
## CloudFormation AWS-Kontingente
Ihr AWS-Konto verfügt über CloudFormation Kontingente, die Sie beachten sollten, wenn Sie den Stack für diese Lösung starten. Wenn Sie diese Kontingente verstehen, können Sie Limitationsfehler vermeiden, die Sie daran hindern würden, diese Lösung erfolgreich einzusetzen. Weitere Informationen finden Sie unter [ CloudFormation AWS-Kontingente](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html) im * CloudFormation AWS-Benutzerhandbuch*.