Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Paso 2. Incorporación de recursos de gestión en Accelerate
Esta es una descripción general del proceso de incorporación de los recursos de gestión.
**Aceptas los términos**
Su administrador de prestación de servicios en la nube (CSDM) lo guiará durante el proceso de aceptación. Debe aceptar los términos y condiciones Regiones de AWS, seleccionar los complementos y un acuerdo de nivel de servicio (SLA).
**Concedes permisos a las funciones de AMS**
Debe conceder acceso a los procesos de AMS y a su Cloud Architect. Para ello, debe crear una CloudFormation pila para cada función. Véase [La plantilla para crear funciones de AMS](acc-onb-roles.md) y después[Cree `aws_managedservices_onboarding_role` con CloudFormation for Accelerate](acc-onb-create-roles-with-cf.md). Para obtener más información, consulte [Gestión de acceso en AMS Accelerate](acc-access.md).
**AMS revisa su configuración**
Su arquitecto de nube (CA) también busca posibles problemas de configuración en su cuenta, como las políticas de control de servicios (SCPs), y los problemas de seguridad que puedan impedir que AMS implemente las herramientas y los recursos que AMS necesita. Su CA trabaja con usted para ayudarlo a corregir los hallazgos y eliminar cualquier obstáculo que impida el despliegue de las herramientas y los recursos de AMS.
**AMS revisa las configuraciones de sus AWS CloudTrail rutas**
Su arquitecto de nube (CA) revisará las configuraciones de sus CloudTrail rutas y confirmará si desea que AMS implemente una CloudTrail ruta global o integre Accelerate con los recursos de rutas de su CloudTrail cuenta o de la organización. Si decide que Accelerate se integre con su CloudTrail ruta, su CA le guiará para realizar las actualizaciones necesarias en las configuraciones de sus recursos de CloudTrail rutas.
**AMS despliega recursos de administración**
El equipo de AMS despliega herramientas y AWS recursos para proporcionar los diferentes servicios de AMS Accelerate. Una vez finalizada, AMS ha creado la cuenta AWS Managed Services y AMS le notifica que la cuenta está activa.
Con esto concluye la fase de *incorporación de los recursos de administración*. Puede pasar directamente al siguiente paso del proceso de incorporación:. [Paso 3. Incorporación de funciones de AMS con políticas predeterminadas](acc-get-feature-config.md)
**nota**
Ahora que su cuenta está activa, tiene la opción de realizar cualquiera de estas tareas:
Cree incidentes y solicitudes de servicio para la AWS infraestructura mediante la consola Support Center. Consulte [Informes de incidentes, solicitudes de servicio y preguntas sobre facturación en AMS Accelerate](acc-supp-ex.md).
Consulte el estado de conformidad en su cuenta de las AWS Config reglas implementadas por AMS,[Cumplimiento de la configuración en Accelerate](acc-sec-compliance.md).
Localice y analice los GuardDuty hallazgos y Macie (opcional). Consulte [Supervise con GuardDuty](acc-sec-data-protect.md#acc-sec-data-protect-gd).
Registros de acceso y auditoría CloudTrail
Realice un seguimiento de los cambios en su cuenta de AMS Accelerate. Consulte [Seguimiento de los cambios en sus cuentas de AMS Accelerate](acc-change-record.md).
Utilice Resource Tagger para crear etiquetas. Consulte [Acelere el etiquetador de recursos](acc-resource-tagger.md).
Solicite parches, Backup e AWS Config informes. Consulte [Informes y opciones](ams-reporting.md).
# Revise y actualice sus configuraciones para permitir que AMS Accelerate utilice su CloudTrail sendero
AMS Accelerate se basa en el AWS CloudTrail registro para gestionar las auditorías y el cumplimiento de todos los recursos de su cuenta. Durante la incorporación, usted decide si Accelerate despliega un CloudTrail registro en su AWS región principal o utiliza los eventos generados por su CloudTrail cuenta o registro organizacional existente. Si su cuenta no tiene una ruta configurada, Accelerate implementará una CloudTrail ruta gestionada durante la incorporación.
**importante**
CloudTrail La configuración de administración de registros solo es necesaria si decide integrar AMS Accelerate con su CloudTrail cuenta o el registro de su organización.
## Revise las configuraciones CloudTrail de las rutas, la política de bucket de Amazon S3 y la política AWS KMS clave del destino de entrega de sus CloudTrail eventos con su Cloud Architect (CA)
Antes de que Accelerate pueda CloudTrail usar su registro, debe trabajar con su arquitecto de nube (CA) para revisar y actualizar sus configuraciones a fin de cumplir con los requisitos de Accelerate. Si decide integrar Accelerate con el registro de su CloudTrail organización, su CA trabajará con usted para actualizar su destino de entrega de CloudTrail eventos, el bucket de Amazon S3 y las políticas AWS KMS clave para permitir las consultas entre cuentas desde su cuenta de Accelerate. Su bucket de Amazon S3 puede estar en una cuenta gestionada por Accelerate o en una cuenta que usted administre. Durante la incorporación, Accelerate valida si las consultas se pueden realizar en el destino de entrega de los eventos de seguimiento de su CloudTrail organización y detiene la incorporación si las consultas fallan. Usted trabaja con su CA para corregir estas configuraciones de modo que se pueda reanudar la incorporación.
### Revise y actualice las configuraciones de su CloudTrail cuenta o registro organizacional
Se requieren las siguientes configuraciones para integrar Accelerate CloudTrail Log Management en su CloudTrail cuenta o los recursos de registro de su organización:
+ Su CloudTrail registro está configurado para registrar todos los eventos Regiones de AWS.
+ Su CloudTrail ruta tiene habilitados [los eventos de servicio global](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html#cloudtrail-concepts-global-service-events).
+ El registro de su CloudTrail cuenta u organización registra todos los [eventos de administración](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events), incluidos los de [lectura y escritura, AWS KMS y el registro de eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#read-write-events-mgmt) de la API de datos de Amazon RDS está activado.
+ Su [registro tiene CloudTrail habilitada la validación de la integridad de los archivos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html) de registro.
+ [El bucket de Amazon S3 que traza CloudTrail entrega eventos para cifrar los eventos mediante el cifrado [SSE-S3 o SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)
+ El bucket de Amazon S3 al que envía el evento su CloudTrail ruta tiene habilitado el [registro de acceso al servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html).
+ El bucket CloudTrail de Amazon S3 al que entrega el evento tiene una [configuración de ciclo](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) de vida que conserva los datos de la CloudTrail ruta durante al menos 18 meses.
+ El depósito de Amazon S3 al que se envía CloudTrail el evento en el que se envía el evento tiene [la propiedad del objeto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) establecida como propietario del depósito.
+ Accelerate puede acceder al bucket de Amazon S3 al que se envía el evento a través de tu CloudTrail ruta.
#### Revise y actualice la política de buckets de Amazon S3 para el destino de entrega de sus CloudTrail eventos
Durante la incorporación, trabajas con tu arquitecto de nube (CA) para añadir las declaraciones de política de bucket de Amazon S3 al destino de entrega de tus CloudTrail eventos. Para permitir que sus usuarios consulten los cambios en el bucket de Amazon S3 de destino de entrega de CloudTrail eventos desde su cuenta de Accelerate, puede implementar una función de IAM con un nombre uniforme en cada cuenta de su organización que Accelerate administre y añadirla a la `aws:PrincipalArn` lista de todas las declaraciones de política de bucket de Amazon S3. Con esta configuración, sus usuarios pueden consultar y analizar los eventos del registro de la CloudTrail organización de su cuenta en Accelerate mediante Athena. Para obtener más información sobre cómo actualizar una política de bucket de Amazon S3, consulte [Añadir una política de bucket mediante la consola de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) en la *Guía del usuario de Amazon Simple Storage Service*.
**importante**
La actualización de la política de buckets de Amazon S3 solo es necesaria cuando Accelerate se integra con una CloudTrail ruta que envía eventos a un bucket de S3 centralizado. Accelerate no admite la integración con una CloudTrail ruta que realice entregas a un bucket centralizado, pero que no tenga las cuentas de una AWS organización.
**nota**
Antes de actualizar su política de buckets de Amazon S3, sustituya *red* los campos por los valores aplicables:
*amzn-s3-demo-bucket*con el nombre del bucket de Amazon S3 que contiene los eventos de seguimiento de sus cuentas.
*your-organization-id*con el ID de la AWS organización a la que pertenecen sus cuentas.
*your-optional-s3-log-delievery-prefix*con el prefijo de entrega de cubos Amazon S3 de tu CloudTrail ruta. Por ejemplo`my-bucket-prefix`, el que puede haber establecido al [crear el CloudTrail sendero](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).
Si no ha configurado un prefijo de entrega de buckets de Amazon S3 para su ruta, elimine «*your-optional-s3-log-delievery-prefix*» y la barra diagonal correspondiente (`/`) de las siguientes declaraciones de política de buckets de Amazon S3.
Las siguientes tres declaraciones de política de bucket de Amazon S3 otorgan a Accelerate acceso para recuperar las configuraciones y ejecutar consultas de AWS Athena para [analizar los CloudTrail eventos en el](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html) bucket de Amazon S3 de destino de entrega de eventos desde su cuenta de Accelerate.
```
{
"Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringLike": {
"s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
#### Revise y actualice la política AWS KMS clave del destino de entrega de sus CloudTrail eventos
Durante la incorporación, trabajas con tu arquitecto de nube (CA) para actualizar la política de AWS KMS claves utilizada para cifrar los eventos de CloudTrail seguimiento que se envían a tu bucket de Amazon S3. Asegúrese de adjuntar las declaraciones de política AWS KMS clave de referencia a su clave actual. AWS KMS Esto configura Accelerate para que se integre con el bucket de Amazon S3 de destino de entrega de eventos de CloudTrail seguimiento existente y descifre los eventos. Para permitir que sus usuarios consulten los cambios en el bucket de Amazon S3 de destino de entrega de CloudTrail eventos desde su cuenta de Accelerate, puede implementar un rol de IAM con un nombre uniforme en cada cuenta de su organización que Accelerate administre y añadirlo a la lista «aws:PrincipalArn». Con esta configuración, sus usuarios pueden consultar eventos.
Hay diferentes escenarios AWS KMS clave de actualización de políticas que hay que tener en cuenta. Es posible que solo tenga una AWS KMS clave configurada en su CloudTrail ruta para cifrar todos los eventos y no tenga una AWS KMS clave que cifre los objetos de su bucket de Amazon S3. O bien, puede tener una AWS KMS clave que cifra los eventos enviados por CloudTrail y otra AWS KMS clave que cifra todos los objetos almacenados en su bucket de Amazon S3. Cuando tiene dos AWS KMS claves, actualiza la política de claves de cada AWS KMS clave para que Accelerate pueda acceder a sus CloudTrail eventos. Asegúrese de modificar la declaración de política AWS KMS clave de referencia por la política AWS KMS clave existente antes de actualizar la política. Para obtener más información sobre cómo actualizar una política AWS KMS clave, consulte [Cambiar una política clave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) en la *Guía del AWS Key Management Service usuario*.
**importante**
Solo debe actualizar su política de AWS KMS claves cuando Accelerate se integre en un CloudTrail registro con el cifrado SSE-KMS de los archivos de registro activado.
**nota**
Antes de aplicar esta declaración de política AWS KMS clave a la AWS KMS clave utilizada para cifrar los AWS CloudTrail eventos que se envían a su bucket de Amazon S3, sustituya los siguientes *red* campos por los valores aplicables:
*YOUR-ORGANIZATION-ID*con el ID de la AWS organización a la que pertenecen tus cuentas.
Esta declaración de política AWS KMS clave otorga a Accelerate el acceso para descifrar y consultar los eventos de seguimiento enviados al bucket de Amazon S3 desde cada cuenta de su organización, con acceso restringido a Athena, que Accelerate utiliza [para consultar y CloudTrail ](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html) analizar eventos. .
```
{
"Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
# La plantilla para crear funciones de AMS
El siguiente rol de AMS otorga permisos a su arquitecto de nube (CA) de AMS. El siguiente archivo zip contiene el código y la CloudFormation plantilla de Terraform que simplifican la creación del rol de IAM, la política de permisos y la política de confianza. Para obtener más información, consulte con su CA.
| Nombre de función | Requerido por | Plantillas de ejemplo |
| --- |--- |--- |
| `aws_managedservices_onboarding_role` | El personal de AMS solo durante la incorporación | [onboarding\$1role\$1minimal.zip](samples/onboarding_role_minimal.zip) |
**nota**
Tras seleccionar y descargar una plantilla de muestra (una por función), la cargará como definiciones de CloudFormation pilas. [Cree `aws_managedservices_onboarding_role` con CloudFormation for Accelerate](acc-onb-create-roles-with-cf.md)
# Cree `aws_managedservices_onboarding_role` con CloudFormation for Accelerate
Puede crear el AWS Identity and Access Management rol,`aws_managedservices_onboarding_role`, CloudFormation desde. Consola de administración de AWS O bien, puede usar los comandos de AWS CloudShell para implementar el rol.
## Utilice el Consola de administración de AWS
**nota**
Antes de empezar, ten listo para cargar un archivo JSON o YAML para cada rol. Para obtener más información, consulte [La plantilla para crear funciones de AMS](acc-onb-roles.md).
Para crear el rol a partir de Consola de administración de AWS, complete los siguientes pasos:
1. Inicie sesión en [https://console.aws.amazon.com/cloudformation Consola de administración de AWS](https://console.aws.amazon.com/cloudformation/) y abra la CloudFormation consola.
![\[CloudFormation Stacks interface showing no stacks and options to create or view guide.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/image1.png)
1. Selecciona **Crear pila > Con nuevos recursos (estándar)**. Verás la página siguiente.
![\[Create stack interface with options to specify template and upload template file.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/image2.png)
1. **Selecciona **Cargar un archivo de plantilla**, carga el archivo JSON o YAML del rol de IAM y, a continuación, selecciona Siguiente.** Verás la página siguiente.
![\[Form for specifying stack details, including stack name and parameters fields.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/image3.png)
1. Introduzca el nombre de la pila «**ams-onboarding-role**» en el campo **Nombre de la pila**. Introduce a **DateOfExpiry**con el formato «AAAA-MM-DDT 00:00:00 Z» (se recomiendan 30 días a partir de la fecha actual). Continúa desplazándote hacia abajo y seleccionando Siguiente hasta llegar a esta página:
![\[Capabilities section with AWSIAM role requirement and checkbox for custom names.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/image4.png)
1. Asegúrese de que la casilla de verificación esté seleccionada y, a continuación, seleccione **Crear pila**.
1. Asegúrese de que la pila se haya creado correctamente.
## Usa comandos de AWS CloudShell
Para implementar la función de `aws_managedservices_onboarding_role` IAM, ejecute el siguiente comando en [AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html):
------
#### [ AWS CLI ]
```
curl -s "https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip" -o "onboarding_role_minimal.zip"
unzip -q -o onboarding_role_minimal.zip
aws cloudformation create-stack \
--stack-name "aws-managedservices-onboarding-role" \
--capabilities CAPABILITY_NAMED_IAM \
--template-body file://onboarding_role_minimal.json \
--parameters ParameterKey=DateOfExpiry,ParameterValue="`date -d '+30 days' -u '+%Y-%m-%dT%H:%M:%SZ'`"
```
------
#### [ AWS Tools for PowerShell ]
```
Invoke-WebRequest -Uri 'https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip' -OutFile 'onboarding_role_minimal.zip'
Expand-Archive -Path 'onboarding_role_minimal.zip' -DestinationPath . -Force
New-CFNStack `
-StackName 'aws-managedservices-onboarding-role' `
-Capability CAPABILITY_NAMED_IAM `
-TemplateBody (Get-Content 'onboarding_role_minimal.json' -Raw) `
-Parameter @{ParameterKey = "DateOfExpiry"; ParameterValue = (Get-Date).AddDays(30).ToString('yyyy-MM-ddTHH:mm:ssZ')}
```
------
Después de crear el rol, trabaje con su arquitecto de nube (CA) para completar el [Paso 2. Incorporación de recursos de gestión en Accelerate](acc-get-mgmt-resource-onboard.md) proceso. Cuando AMS le informe de que su cuenta está activa, estará listo para incorporar sus instancias.