Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cuentas multicuenta de Landing Zone
**Topics**
+ [Cuenta de administración](management-account.md)
+ [Cuenta de red](networking-account.md)
+ [Cuenta de Shared Services](shared-services-account.md)
+ [Cuenta de Log Archive](logging-account.md)
+ [Cuenta de seguridad](security-account.md)
+ [Tipos de cuentas de aplicaciones](application-account.md)
+ [Cuenta AMS Tools (migración de cargas de trabajo)](tools-account.md)
# Cuenta de administración
La cuenta de administración es su cuenta de AWS inicial cuando comienza a incorporarse a AMS. Utiliza AWS Organizations como cuenta de administración (también conocida como cuenta de pagador que paga los cargos de todas las cuentas de los miembros), lo que permite a la cuenta crear y administrar financieramente cuentas de miembros. Contiene el marco de AWS landing zone (ALZ), los conjuntos de conjuntos de configuraciones de cuentas, las políticas de control de servicios de AWS Organization (SCPs), etc.
Para obtener más información sobre el uso de una cuenta de administración, consulte [Prácticas recomendadas para la cuenta de administración](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html).
El siguiente diagrama proporciona una descripción general de alto nivel de los recursos contenidos en la cuenta de administración.
![\[Cuenta de administración overview showing AMS Customer Region and various Servicios de AWS and features.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/management-account.png)
## Recursos de la cuenta de administración
Además de los servicios estándar anteriores, no se crean recursos de AWS adicionales en la cuenta de administración durante la incorporación. Se requieren los siguientes datos durante la incorporación a AMS:
+ *ID de cuenta de administración*: ID de cuenta de AWS que usted creó inicialmente.
+ *Correos electrónicos de las cuentas principales*: indique los correos electrónicos que se van a asociar a cada una de las cuentas principales: cuenta de redes, servicios compartidos, registro y cuenta de seguridad.
+ *Región de servicio*: indique la región de AWS en la que se desplegarán todos los recursos de su AMS landing zone.
# Cuenta de red
La cuenta de red sirve como centro central para el enrutamiento de la red entre las cuentas de landing zone multicuenta de AMS, la red local y el tráfico de salida a Internet. Además, esta cuenta contiene bastiones DMZ públicos que son el punto de entrada para que los ingenieros de AMS accedan a los hosts del entorno AMS. Para obtener más información, consulte el siguiente diagrama de alto nivel de la cuenta de red que aparece a continuación.
![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/malzNetworkAccount.png)
# Arquitectura de cuentas de red
El siguiente diagrama muestra el entorno de zona de landing de cuentas múltiples de AMS, que muestra los flujos de tráfico de red entre cuentas, y es un ejemplo de una configuración de alta disponibilidad.
![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW-2.png)
![\[Diagram showing network traffic flow between Cuentas de AWS, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)
AMS configura automáticamente todos los aspectos de la red en función de nuestras plantillas estándar y de las opciones que haya seleccionado durante la incorporación. Se aplica un diseño de red de AWS estándar a su cuenta de AWS y se crea una VPC para usted y se conecta a AMS mediante VPN o Direct Connect. Para obtener más información sobre Direct Connect, consulte [AWS Direct Connect](https://aws.amazon.com/directconnect/). VPCs Los estándares incluyen la DMZ, los servicios compartidos y una subred de aplicaciones. Durante el proceso de incorporación, es VPCs posible que se soliciten y creen más en función de sus necesidades (por ejemplo, divisiones de clientes o socios). Tras la incorporación, se le proporciona un diagrama de red: un documento de entorno que explica cómo se ha configurado la red.
**nota**
Para obtener información sobre los límites y restricciones de servicio predeterminados para todos los servicios activos, consulte la documentación sobre [los límites de servicio de AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
El diseño de nuestra red se basa en el [«Principio de Privilegio Mínimo» de](https://en.wikipedia.org/wiki/Principle_of_least_privilege) Amazon. Para lograrlo, enrutamos todo el tráfico, de entrada y salida, a través de una zona desmilitarizada, excepto el tráfico que proviene de una red confiable. La única red de confianza es la que se configura entre el entorno local y la VPC mediante el uso de una and/or VPN y AWS Direct Connect (DX). El acceso se concede mediante el uso de instancias bastión, lo que impide el acceso directo a cualquier recurso de producción. Todas sus aplicaciones y recursos residen en subredes privadas a las que se puede acceder mediante balanceadores de carga públicos. El tráfico de salida público fluye a través de las puertas de enlace NAT de la VPC de salida (en la cuenta de red) hacia la puerta de enlace de Internet y, después, hacia Internet. Como alternativa, el tráfico puede fluir a través de su VPN o Direct Connect a su entorno local.
# Conectividad de red privada al entorno AMS Multi-Account Landing Zone
AWS ofrece conectividad privada mediante conectividad de red privada virtual (VPN) o líneas dedicadas con AWS Direct Connect. La conectividad privada en su entorno de múltiples cuentas se configura mediante uno de los métodos que se describen a continuación:
+ Conectividad perimetral centralizada mediante Transit Gateway
+ Conexión de la and/or VPN Direct Connect (DX) a las nubes privadas virtuales de cuentas (VPCs)
# Conectividad perimetral centralizada mediante una pasarela de tránsito
AWS Transit Gateway es un servicio que le permite conectar sus redes locales VPCs y las suyas a una única puerta de enlace. La pasarela de tránsito (TGW) se puede utilizar para consolidar su conectividad perimetral existente y enrutarla a través de un único ingress/egress punto. La pasarela de tránsito se crea en la cuenta de red de su entorno de cuentas múltiples de AMS. Para obtener más información sobre Transit Gateway, consulte [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
La puerta de enlace AWS Direct Connect (DX) se utiliza para conectar su conexión DX a través de una interfaz virtual de tránsito a la puerta de enlace de tránsito VPCs o VPNs que está conectada a la puerta de enlace de tránsito. Asocie una puerta de enlace de Direct Connect con la puerta de enlace de tránsito. A continuación, cree una interfaz virtual de tránsito para su conexión de AWS Direct Connect a la puerta de enlace Direct Connect. Para obtener información sobre las interfaces virtuales DX, consulte [Interfaces virtuales AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html).
Esta configuración ofrece los siguientes beneficios. Puede hacer lo siguiente:
+ Administre una única conexión para varias VPCs o VPNs que estén en la misma región de AWS.
+ Anuncie prefijos de las instalaciones locales a AWS y de AWS a las instalaciones locales.
**nota**
[Para obtener información sobre el uso de una DX con los servicios de AWS, consulte la sección Classic del kit de herramientas de resiliencia.](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html) Para obtener más información, consulte las [asociaciones de Transit Gateway](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html).
![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/malz-cent-edge.png)
Para aumentar la resiliencia de su conectividad, le recomendamos que conecte al menos dos interfaces virtuales de tránsito desde diferentes ubicaciones de AWS Direct Connect a la puerta de enlace Direct Connect. Para obtener más información, consulte la [recomendación de resiliencia de AWS Direct Connect](https://aws.amazon.com/directconnect/resiliency-recommendation/).
# Conexión de DX o VPN a la cuenta VPCs
Con esta opción, los entornos VPCs de landing zone con múltiples cuentas de AMS se conectan directamente a Direct Connect o VPN. El tráfico fluye directamente desde Direct Connect o VPN sin atravesar la puerta de enlace de tránsito. VPCs
# Recursos de la cuenta de red
Como se muestra en el diagrama de la cuenta de red, los siguientes componentes se crean en la cuenta y requieren su entrada.
**La cuenta de red contiene dos VPCs: la VPC de **salida y la VPC** **DMZ, también conocida como VPC** perimetral.**
# Administrador de redes de AWS
AWS Network Manager es un servicio que le permite visualizar sus redes de pasarelas de tránsito (TGW) sin coste adicional para AMS. Proporciona una supervisión de red centralizada tanto en los recursos de AWS como en las redes locales, una vista global única de su red privada en un diagrama de topología y en un mapa geográfico, y métricas de uso, como el estado de in/out, packets in/out, packets dropped, and alerts for changes in the topology, routing, and up/down conexión de los bytes. Para obtener información, consulte [AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/).
Utilice uno de los siguientes roles para acceder a este recurso:
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole
# VPC de salida
La VPC de salida se utiliza principalmente para el tráfico de salida a Internet y se compone public/private de subredes en un máximo de tres zonas de disponibilidad (). AZs Las puertas de enlace de traducción de direcciones de red (NAT) se aprovisionan en las subredes públicas y los adjuntos de VPC de las pasarelas de tránsito (TGW) se crean en las subredes privadas. El tráfico de Internet de salida o saliente de todas las redes ingresa a través de la subred privada a través de TGW, donde luego se enruta a una NAT a través de tablas de enrutamiento de VPC.
En el caso de las VPCs que contienen aplicaciones orientadas al público en una subred pública, el tráfico que se origina en Internet está contenido en esa VPC. El tráfico de retorno no se enruta a la TGW ni a la VPC de salida, sino que se redirige a través de la puerta de enlace de Internet (IGW) de la VPC.
**nota**
Rango CIDR de VPC de red: al crear una VPC, debe especificar un rango de direcciones IPv4 para la VPC en forma de bloque de enrutamiento entre dominios sin clase (CIDR); por ejemplo, 10.0.16.0/24. Se trata del bloque de CIDR principal de la VPC.
El equipo de landing zone multicuenta de AMS recomienda el rango de 24 (con más direcciones IP) para proporcionar algo de amortiguación en caso de que se desplieguen otros recursos/dispositivos en el futuro.
# Firewall de salida gestionado de Palo Alto
AMS ofrece una solución de firewall de salida gestionada de Palo Alto, que permite filtrar el tráfico saliente con destino a Internet para todas las redes del entorno de zonas de aterrizaje con múltiples cuentas (excepto los servicios de acceso público). Esta solución combina la tecnología de firewall líder del sector (Palo Alto VM-300) con las capacidades de administración de infraestructura de AMS para implementar, monitorear, administrar, escalar y restaurar la infraestructura en entornos operativos compatibles. Los terceros, incluida Palo Alto Networks, no tienen acceso a los firewalls; los gestionan únicamente los ingenieros de AMS.
## Control de tráfico
La solución de firewall de salida gestionado gestiona una lista de dominios permitidos compuesta por los dominios necesarios por AMS para servicios como copias de seguridad y parches, así como los dominios definidos por usted. Cuando el tráfico de Internet saliente se enruta al firewall, se abre una sesión, se evalúa el tráfico y, si coincide con un dominio permitido, se reenvía al destino.
## Arquitectura
La solución de firewall de salida gestionado sigue un modelo de alta disponibilidad, en el que se implementan de dos a tres firewalls en función del número de zonas de disponibilidad (). AZs La solución utiliza parte del espacio IP de la VPC de salida predeterminada, pero también proporciona una extensión de VPC (/24) para los recursos adicionales necesarios para administrar los firewalls.
![\[Network diagram showing Egress VPC with subnets, AMS Firewall VPC Extension, and associated resources.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/malz-pa-firewall-arch.png)
## Flujo de red
![\[AWS network architecture diagram showing Application, Networking, and Shared Services accounts with VPCs and subnets.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/malz-pa-firewall-net-flow.png)
![\[Traffic key showing different types of AWS network traffic with color-coded lines.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/malz-pa-firewall-net-flow-legend.png)
En un nivel alto, el enrutamiento del tráfico de salida público sigue siendo el mismo, excepto en lo que respecta a la forma en que se enruta el tráfico a Internet desde la VPC de salida:
1. El tráfico de salida destinado a Internet se envía a la Transit Gateway (TGW) a través de la tabla de enrutamiento de VPC
1. TGW enruta el tráfico a la VPC de salida a través de la tabla de enrutamiento de TGW
1. La VPC enruta el tráfico a Internet a través de las tablas de enrutamiento de subredes privadas
1. En el entorno predeterminado de la zona de destino multicuenta, el tráfico de Internet se envía directamente a una puerta de enlace de traducción de direcciones de red (NAT). La solución de firewall administrado reconfigura las tablas de enrutamiento de las subredes privadas para que, en su lugar, dirijan la ruta predeterminada (0.0.0.0/0) a una interfaz de firewall.
Los propios firewalls contienen tres interfaces:
1. Interfaz de confianza: interfaz privada para recibir el tráfico que se va a procesar.
1. Interfaz no confiable: interfaz pública para enviar tráfico a Internet. Como los firewalls realizan la NAT, los servidores externos aceptan solicitudes de estas direcciones IP públicas.
1. Interfaz de administración: interfaz privada para la API del firewall, las actualizaciones, la consola, etc.
Durante todo el enrutamiento, el tráfico se mantiene dentro de la misma zona de disponibilidad (AZ) para reducir el tráfico entre zonas de disponibilidad. El tráfico solo AZs se cruza cuando se produce una conmutación por error.
## Modificación de la lista de permitidos
Tras la incorporación, se crea una lista de puntos permitidos predeterminada, que contiene los puntos de conexión públicos necesarios para AMS`ams-allowlist`, así como los puntos de conexión públicos para aplicar parches a los hosts de Windows y Linux. Una vez en funcionamiento, puede crear RFC en la consola AMS, en la categoría Administración \$1 Firewall gestionado \$1 Outbound (Palo Alto) para crear o eliminar listas de permitidos o modificar los dominios. Tenga en cuenta que `ams-allowlist` no se puede modificar. Los RFC se gestionan con total automatización (no son manuales).
## Política de seguridad personalizada
Las políticas de seguridad determinan si se debe bloquear o permitir una sesión en función de los atributos del tráfico, como la zona de seguridad de origen y destino, la dirección IP de origen y destino y el servicio. Se admiten políticas de seguridad personalizadas y totalmente automatizadas RFCs. CTs Puede encontrar información sobre cómo crear o eliminar una política de seguridad en la categoría Gestión \$1 Firewall gestionado \$1 Saliente (Palo Alto), y el código para editar una política de seguridad existente en la categoría Implementación \$1 Firewall gestionado \$1 Saliente (Palo Alto). Podrá crear nuevas políticas de seguridad, modificarlas o eliminarlas.
**nota**
La política de seguridad predeterminada `ams-allowlist` no se puede modificar
## CloudWatch Paneles de salida de PA
Se pueden encontrar dos paneles CloudWatch para proporcionar una vista agregada de Palo Alto (PA). El panel de control **AMS-MF-PA-Egress-Config-Dashboard** proporciona una descripción general de la configuración de PA, enlaces a listas de permitidos y una lista de todas las políticas de seguridad, incluidos sus atributos. El **panel** de control AMS-MF-PA-Egress-Dashboard se puede personalizar para filtrar los registros de tráfico. Por ejemplo, para crear un panel de control para una política de seguridad, puede crear un RFC con un filtro como el siguiente:
```
fields @timestamp, @message
| filter @logStream like /pa-traffic-logs/
| filter @message like //
| parse @message "*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*," as x1, @x2, @x3, @x4, @type, @x6, @x7, @source_ip, @destination_ip, @source_nat_ip, @dest_nat_ip, @rule, @x13, @x14, @application, @x16, @from_zone, @to_zone, @x19, @x20, @x21, @x22, @session_id, @x24, @source_port, @destination_port, @source_nat_port, @destination_nat_port, @x29, @protocol, @action, @bytes, @bytes_sent, @bytes_recieved, @packets, @x36, @x37, @category, @x39, @x40, @x41, @source_country, @destination_country, @x44, @packets_sent, @packets_recieved, @session_end_reason, @x48, @x49, @x50
| display @timestamp, @rule, @action, @session_end_reason, @protocol, @source_ip, @destination_ip, @source_port, @destination_port, @session_id, @from_zone, @to_zone, @category, @bytes_sent, @bytes_recieved, @packets_sent, @packets_recieved, @source_country, @destination_country
```
## Modelo de conmutación por error
La solución de firewalls incluye dos o tres hosts de Palo Alto (PA) (uno por zona de disponibilidad). Healthy Check Canaries sigue un programa constante para evaluar el estado de los anfitriones. Si se identifica un host como en mal estado, se notifica a AMS y el tráfico de esa AZ se traslada automáticamente a un host en buen estado en una AZ diferente mediante un cambio en la tabla de rutas. Como el flujo de trabajo de comprobación de estado se ejecuta constantemente, si el host vuelve a funcionar correctamente debido a problemas transitorios o a una corrección manual, el tráfico vuelve a la AZ correcta con el host en buen estado.
## Escalado
AMS supervisa el firewall para determinar los límites de rendimiento y escalado. Cuando los límites de rendimiento superan los umbrales mínimos mínimos (CPU/red), AMS recibe una alerta. Un umbral inferior indica que los recursos se están acercando a la saturación, por lo que AMS evaluará las métricas a lo largo del tiempo y se pondrá en contacto con ellos para sugerir soluciones de escalabilidad.
## Copia de seguridad y restauración
Las copias de seguridad se crean durante el lanzamiento inicial, después de cualquier cambio de configuración y en intervalos regulares. Las copias de seguridad del lanzamiento inicial se crean para cada host, pero las copias de seguridad modificadas y a intervalos regulares se realizan en todos los hosts del firewall cuando se invoca el flujo de trabajo de copia de seguridad. Los ingenieros de AMS pueden crear copias de seguridad adicionales fuera de esas ventanas o proporcionar los detalles de las copias de seguridad si así lo solicitan.
Los ingenieros de AMS pueden restaurar las copias de seguridad de la configuración si es necesario. Si es necesaria una restauración, se realizará en todos los hosts para mantener sincronizada la configuración entre los hosts.
La restauración también se puede realizar cuando un host requiere el reciclaje completo de una instancia. La restauración automática de la última copia de seguridad se produce cuando se aprovisiona una nueva EC2 instancia. En general, los hosts no se reciclan con regularidad y se reservan para errores graves o cambios de AMI necesarios. El reciclaje del host se inicia manualmente y se le notifica antes de que se produzca un reciclaje.
Además de las copias de seguridad de la configuración del firewall, las reglas específicas de la lista de permitidos se guardan por separado. Cuando se modifican las reglas de la lista de permitidos definidas, se crea automáticamente una copia de seguridad. Si es necesario, un ingeniero de AMS puede restaurar la copia de seguridad de la lista de personas permitidas.
## Actualizaciones
La solución de firewall gestionado AMS requiere varias actualizaciones a lo largo del tiempo para añadir mejoras al sistema, funciones adicionales o actualizaciones al sistema operativo (SO) o al software del firewall.
La mayoría de los cambios no afectarán al entorno de ejecución, como la actualización de la infraestructura de automatización, pero otros cambios, como la rotación de las instancias del firewall o la actualización del sistema operativo, pueden provocar interrupciones. Cuando se evalúe una posible interrupción del servicio debido a las actualizaciones, AMS se pondrá en contacto con usted para adaptarse a los plazos de mantenimiento.
## Acceso del operador
Los operadores de AMS utilizan sus ActiveDirectory credenciales para iniciar sesión en el dispositivo de Palo Alto y realizar operaciones (por ejemplo, aplicar parches, responder a un evento, etc.). La solución conserva los registros estándar de autenticación y cambios de configuración de los operadores de AMS para realizar un seguimiento de las acciones realizadas en los hosts de Palo Alto.
## Registros predeterminados
De forma predeterminada, los registros generados por el firewall residen en el almacenamiento local de cada firewall. Con el tiempo, los registros locales se eliminarán en función del uso del almacenamiento. La solución AMS permite el envío en tiempo real de los troncos de las máquinas a CloudWatch los troncos; para obtener más información, consulte[CloudWatch Integración de registros](#networking-pa-firewall-cw-logs).
Los ingenieros de AMS aún tienen la capacidad de consultar y exportar los registros directamente desde las máquinas si es necesario. Además, los registros se pueden enviar a un Panorama propiedad del cliente; para obtener más información, consulte. [Integración de Panorama](#networking-pa-firewall-panorama)
Los registros recopilados por la solución son los siguientes:
**Códigos de estado RFC**
| Tipo de registro | Descripción |
| --- | --- |
| Tráfico | Muestra una entrada para el inicio y el final de cada sesión. Cada entrada incluye la fecha y la hora, las zonas de origen y destino, las direcciones y los puertos, el nombre de la aplicación, el nombre de la regla de seguridad aplicada al flujo, la acción de la regla (permitir, denegar o eliminar), la interfaz de entrada y salida, el número de bytes y el motivo del final de la sesión. La columna Tipo indica si la entrada es para el inicio o el final de la sesión, o si la sesión se denegó o canceló. Una «exclusión» indica que la regla de seguridad que bloqueó el tráfico especificó «cualquier» aplicación, mientras que una «denegación» indica que la regla identificó una aplicación específica. Si se interrumpe el tráfico antes de identificar la aplicación, por ejemplo, cuando una regla elimina todo el tráfico de un servicio específico, la aplicación se muestra como «no aplicable». |
| Amenaza | Muestra una entrada para cada alarma de seguridad generada por el firewall. Cada entrada incluye la fecha y la hora, el nombre o la URL de la amenaza, las zonas de origen y destino, las direcciones y los puertos, el nombre de la aplicación y la acción de alarma (permitir o bloquear) y su gravedad. La columna Tipo indica el tipo de amenaza, como «virus» o «spyware»; la columna Nombre es la descripción de la amenaza o la URL; y la columna Categoría es la categoría de amenaza (por ejemplo, «keylogger») o la categoría de URL. |
| Filtrado de URL | Muestra los registros de los filtros de URL, que controlan el acceso a los sitios web y si los usuarios pueden enviar credenciales a los sitios web. |
| Configuración | Muestra una entrada para cada cambio de configuración. Cada entrada incluye la fecha y la hora, el nombre de usuario del administrador, la dirección IP desde la que se realizó el cambio, el tipo de cliente (interfaz web o CLI), el tipo de comando ejecutado, si el comando se ejecutó correctamente o no, la ruta de configuración y los valores antes y después del cambio. |
| Sistema | Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha y la hora, la gravedad del evento y una descripción del evento. |
| alarmas | El registro de alarmas registra información detallada sobre las alarmas generadas por el sistema. La información de este registro también se incluye en Alarmas. Consulte «Definir la configuración de las alarmas». |
| Autenticación | Muestra información sobre los eventos de autenticación que se producen cuando los usuarios finales intentan acceder a los recursos de la red cuyo acceso está controlado por las reglas de la política de autenticación. Los usuarios pueden utilizar esta información para solucionar problemas de acceso y ajustar la política de autenticación de los usuarios según sea necesario. Junto con los objetos de correlación, los usuarios también pueden usar los registros de autenticación para identificar actividades sospechosas en la red del usuario, como los ataques de fuerza bruta. De forma opcional, los usuarios pueden configurar las reglas de autenticación para registrar los tiempos de espera de la autenticación. Estos tiempos de espera se refieren al período de tiempo en el que un usuario necesita autenticarse para un recurso solo una vez, pero puede acceder a él repetidamente. Ver información sobre los tiempos de espera ayuda a los usuarios a decidir si deben ajustarlos y cómo hacerlo. |
| Unificado | Muestra las últimas entradas de registro de tráfico, amenazas, filtrado de URL, WildFire envíos y filtrado de datos en una sola vista. La vista de registro colectiva permite a los usuarios investigar y filtrar estos diferentes tipos de registros juntos (en lugar de buscar en cada conjunto de registros por separado). O bien, los usuarios pueden elegir qué tipos de registro mostrar: hacen clic en la flecha situada a la izquierda del campo de filtro y seleccionan tráfico, amenaza, URL, datos o and/or incendios forestales para mostrar solo los tipos de registro seleccionados. |
## Gestión de eventos
AMS monitorea continuamente la capacidad, el estado y la disponibilidad del firewall. Las métricas generadas por el firewall, así como las métricas AWS/AMS generadas, se utilizan para crear alarmas que reciben los ingenieros de operaciones de AMS, quienes investigarán y resolverán el problema. Las alarmas actuales cubren los siguientes casos:
Alarmas de eventos:
+ Utilización de la CPU del Firewall Dataplane
+ Utilización de la CPU: CPU del plano de datos (tráfico de procesamiento)
+ La utilización de paquetes del plano de datos del firewall es superior al 80%
+ Utilización de paquetes: plano de datos (tráfico de procesamiento)
+ Utilización de las sesiones del plano de datos del firewall
+ Sesión de Firewall Dataplane activa
+ Utilización agregada de la CPU del firewall
+ Utilización de la CPU en todos CPUs
+ Conmutación por error por parte de AZ
+ Se activa cuando se produce una conmutación por error en una zona de disponibilidad
+ Host de Syslog en mal estado
+ El host de Syslog no pasa la comprobación de estado
Alarmas de administración:
+ Alarma de fallo del monitor Health Check
+ Cuando el flujo de trabajo de comprobación de estado falla inesperadamente
+ Esto se aplica al flujo de trabajo en sí, no si se produce un error en la comprobación del estado del firewall
+ Alarma de error al rotar la contraseña
+ Cuando la rotación de la contraseña falla
+ La contraseña de usuario de la API o del servicio se rota cada 90 días
## Métricas
Todas las métricas se capturan y almacenan CloudWatch en la cuenta de red. Se pueden ver accediendo desde la consola a la cuenta de red y navegando hasta la CloudWatch consola. **Las métricas individuales se pueden ver en la pestaña de métricas o en un panel de control único para ver las métricas seleccionadas y las métricas agregadas. Para ello, vaya a la pestaña Panel de control y seleccione AMS-MF-PA-Egress-Dashboard.**
Métricas personalizadas:
+ Comprobación de estado
+ Espacio de nombres: AMS/MF/PA/Egress
+ PARouteTableConnectionsByAZ
+ PAUnhealthyByInstance
+ PAUnhealthyAggregatedByAZ
+ PAHealthCheckLockState
+ Firewall generado
+ Espacio de nombres:/AMS/MF/PA/Egress
+ DataPlaneCPUUtilizationPacto
+ DataPlanePacketBuffferUtilization
+ dolor GPGateway UtilizationPct
+ panSessionActive
+ panSessionUtilization
## CloudWatch Integración de registros
CloudWatch La integración de los registros reenvía los registros de los firewalls a CloudWatch registros, lo que reduce el riesgo de perder los registros debido al uso del almacenamiento local. Los registros se rellenan en tiempo real a medida que los firewalls los generan y se pueden ver bajo demanda a través de la consola o la API.
Las consultas complejas se pueden crear para el análisis de registros o se pueden exportar a CSV mediante CloudWatch Insights. Además, el CloudWatch panel de control personalizado de AMS Managed Firewall también mostrará una vista rápida de consultas específicas del registro de tráfico y una visualización gráfica de las repercusiones del tráfico y las políticas a lo largo del tiempo. El uso de CloudWatch registros también permite la integración nativa con otros servicios de AWS, como AWS Kinesis.
**nota**
Los registros de PA no se pueden reenviar directamente a un recopilador de Syslog existente en las instalaciones o a un recopilador de Syslog externo. La solución AMS Managed Firewall proporciona el envío en tiempo real de los registros de las máquinas PA a AWS CloudWatch Logs. Puede utilizar la función CloudWatch Logs Insight para ejecutar consultas ad hoc. Además, los registros se pueden enviar a la solución de gestión Panorama de Palo Alto. CloudWatch Los registros también se pueden reenviar a otros destinos mediante los filtros de CloudWatch suscripción. Obtenga más información sobre Panorama en la siguiente sección. Para obtener más información sobre Splunk, consulte [Integración con Splunk](https://docs.aws.amazon.com/managedservices/latest/userguide/enable-Splunk-log-push.html).
## Integración de Panorama
El firewall gestionado por AMS se puede integrar, de forma opcional, con su Panorama existente. Esto le permite ver las configuraciones del firewall desde Panorama o reenviar los registros del firewall al Panorama. La integración de Panorama con el Firewall gestionado por AMS es de solo lectura y no se permiten cambios de configuración en los firewalls desde Panorama. Panorama está completamente gestionado y configurado por usted, AMS solo se encargará de configurar los firewalls para comunicarse con él.
## Licencias
El precio del firewall gestionado por AMS depende del tipo de licencia que se utilice, del tipo de licencia que se utilice por hora o con licencia propia (BYOL) y del tamaño de la instancia en la que se ejecute el dispositivo. Debe solicitar el tamaño de las instancias y las licencias del firewall de Palo Alto que prefiera a través de AWS Marketplace.
+ Licencias Marketplace: acepte los términos y condiciones del paquete 1 de firewalls de próxima generación de la serie VM desde la cuenta de red de MALZ.
+ Licencias BYOL: acepte los términos y condiciones del firewall de próxima generación (BYOL) de la serie VM desde la cuenta de red de MALZ y comparta con AMS el «código de autenticación BYOL» obtenido tras la compra de la licencia.
## Limitaciones
En este momento, AMS es compatible con los firewalls de las series VM-300 o VM-500. Las configuraciones se encuentran aquí: [modelos de la serie VM en instancias de AWS EC2 ](https://docs.paloaltonetworks.com/vm-series/10-0/vm-series-performance-capacity/vm-series-performance-capacity/vm-series-on-aws-models-and-instances.html),
**nota**
La solución AMS se ejecuta en modo Active-Active, ya que cada instancia de PA de su AZ gestiona el tráfico de salida de su AZ correspondiente. Por lo tanto, con dos AZs, cada instancia de PA gestiona el tráfico de salida de hasta 5 Gbps y proporciona de forma efectiva un rendimiento total de 10 Gbps en dos de ellas. AZs Lo mismo ocurre con todos los límites de cada zona de disponibilidad. Si la comprobación de estado del AMS no se realiza correctamente, cambiamos el tráfico de la AZ con el PA defectuoso a otra AZ y, durante la sustitución de la instancia, la capacidad se reduce hasta los AZs límites restantes.
Actualmente, AMS no admite otros paquetes de Palo Alto disponibles en AWS Marketplace; por ejemplo, no puede solicitar el «paquete de firewalls de próxima generación de la serie VM 2". Tenga en cuenta que la solución de firewall administrado por AMS que utiliza Palo Alto actualmente solo ofrece una oferta de filtrado del tráfico de salida, por lo que el uso de paquetes avanzados de la serie VM no proporcionaría funciones ni ventajas adicionales.
## Requisitos de incorporación
+ Debe revisar y aceptar los términos y condiciones del firewall de próxima generación de la serie VM de Palo Alto en AWS Marketplace.
+ Debe confirmar el tamaño de la instancia que quiere usar en función de la carga de trabajo prevista.
+ Debe proporcionar un bloqueo CIDR de /24 horas que no entre en conflicto con las redes de su entorno de zona de destino multicuenta o local. Debe ser de la misma clase que la VPC de salida (la solución proporciona una extensión de VPC /24 a la VPC de salida).
## Precios
Los costes de la infraestructura básica del firewall gestionado por AMS se dividen en tres factores principales: la EC2 instancia que aloja el firewall de Palo Alto, la licencia de software, las licencias de la serie VM de Palo Alto y CloudWatch las integraciones.
Los siguientes precios se basan en los firewalls de la serie VM-300.
+ EC2 Instancias: el firewall de Palo Alto se ejecuta en un modelo de alta disponibilidad de 2 a 3 EC2 instancias, en el que la instancia se basa en las cargas de trabajo esperadas. El costo de la instancia depende de la región y del número de AZs
+ Por ejemplo, us-east-1, m5.xlarge, 3 AZs
+ 0,192\$1 \$1 24 \$1 30 \$1 3 = 414,72\$1
+ https://aws.amazon.com/ec2/precios/bajo demanda/
+ Licencias de Palo Alto: el costo de la licencia de software de un firewall Palo Alto VM-300 de próxima generación depende del número de zonas de disponibilidad y del tipo de instancia.
+ Por ejemplo, us-east-1, m5.xlarge, 3 AZs
+ 0,87\$1 \$1 24 \$1 30 \$1 3 = 1879,20\$1
+ https://aws.amazon.com/marketplace/pp/B083M7JPKB? ref\$1=srh\$1res\$1product\$1title \$1pdp -pricing
+ CloudWatch Integración de registros: la integración de registros utiliza SysLog servidores (- t3.medium), NLB y CloudWatch registros. EC2 CloudWatch El costo de los servidores depende de la región y el número de servidores AZs, y el costo de los NLB/CloudWatch registros varía según la utilización del tráfico.
+ Por ejemplo, us-east-1, t3.medium, 3AZ
+ 0,0416\$1 \$1 24 \$1 30 \$1 3 = 89,86\$1
+ https://aws.amazon.com/ec2/precios/bajo demanda/
+ https://aws.amazon.com/cloudwatch/precios/
# VPC perimetral (DMZ)
La VPC perimetral, o DMZ, contiene los recursos necesarios para que los ingenieros de operaciones de AMS accedan a las redes de AMS. Contiene subredes públicas de 2 a 3 AZs, con hosts SSH Bastions en un grupo de Auto Scaling (ASG) para que los ingenieros de operaciones de AMS puedan iniciar sesión o recorrer un túnel. Los grupos de seguridad adjuntos a los bastiones de la DMZ contienen reglas de entrada del puerto 22 de **Amazon** Corp Networks.
Rango *CIDR de VPC DMZ: al crear una VPC, debe especificar un rango* de IPv4 direcciones para la VPC en forma de bloque de enrutamiento entre dominios sin clase (CIDR); por ejemplo, 10.0.16.0/24. Se trata del bloque de CIDR principal de la VPC.
**nota**
El equipo de AMS recomienda el rango de 24 (con más direcciones IP) para proporcionar un búfer en caso de que se desplieguen otros recursos, como un firewall, en el futuro.
# AWS Transit Gateway
AWS Transit Gateway (TGW) es un servicio que le permite conectar sus Amazon Virtual Private Clouds (VPCs) y sus redes locales a una única puerta de enlace. Transit Gateway es la columna vertebral de la red que gestiona el enrutamiento entre las redes de cuentas AMS y las redes externas. Para obtener información sobre Transit Gateway, consulte [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
Proporcione la siguiente entrada para crear este recurso:
+ *Número ASN de Transit Gateway* \$1: proporciona el número de sistema autónomo (ASN) privado de tu pasarela de transporte. Este debe ser el ASN para el lado AWS de una sesión de protocolo de gateway fronteriza (BGP). El rango es de 64512 a 65534 para 16 bits. ASNs
# Cuenta de Shared Services
La cuenta de servicios compartidos sirve como centro central para la mayoría de los servicios del plano de datos de AMS. La cuenta contiene la infraestructura y los recursos necesarios para la gestión del acceso (AD) y la gestión de la seguridad de los puntos finales (Trend Micro) y contiene los bastiones de clientes (SSH/RDP). En el siguiente gráfico se muestra una descripción general de los recursos contenidos en la cuenta de Shared Services.
![\[Diagram of Shared Services Account architecture with VPC, subnets, and various Servicios de AWS.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/malzSharedServicesAccount2.png)
La VPC de Shared Services está compuesta por la subred AD, la subred EPS y la subred de bastiones del cliente en las tres zonas de disponibilidad (). AZs Los recursos creados en la VPC de Shared Services se enumeran a continuación y requieren su participación.
+ *Rango CIDR de VPC de Shared Services:* al crear una VPC, debe especificar un rango de direcciones IPv4 para la VPC en forma de bloque de enrutamiento entre dominios sin clase (CIDR); por ejemplo, 10.0.1.0/24. Se trata del bloque de CIDR principal de la VPC.
**nota**
El equipo de AMS recomienda el rango de /23.
+ *Detalles de Active Directory*: Microsoft Active Directory (AD) se utiliza para la user/resource administración, la autenticación/autorización y el DNS en todas sus cuentas de zona de landing zone multicuenta de AMS. AMS AD también está configurado con una conexión unidireccional a Active Directory para una autenticación basada en la confianza. Se requiere la siguiente entrada para crear el AD:
+ Nombre de dominio completo (FQDN) del dominio: el nombre de dominio completo del directorio de Microsoft AD administrado por AWS. El dominio no debe ser un dominio existente ni un dominio secundario de un dominio existente en su red.
+ Nombre NetBIOS del dominio: si no especifica un nombre NetBIOS, AMS utilizará el nombre predeterminado en la primera parte del DNS de su directorio. Por ejemplo, corp para el directorio DNS corp.example.com.
+ *Trend Micro: protección de puntos finales (EPS)*: la protección de puntos finales (EPS) de Trend Micro es el componente principal de AMS para la seguridad de los sistemas operativos. El sistema está compuesto por Deep Security Manager (DSM), EC2 instancias, instancias de retransmisión EC2 y un agente presente en todos los planos de datos y en las EC2 instancias de los clientes.
Debe asumir que está `EPSMarketplaceSubscriptionRole` en la cuenta de Shared Services y suscribirse a la AMI de Trend Micro Deep Security (BYOL) o a Trend Micro Deep Security (Marketplace).
Se requieren las siguientes entradas predeterminadas para crear el EPS (si desea cambiar las opciones predeterminadas):
+ Tipo de instancia de retransmisión: valor predeterminado: m5.large
+ Tipo de instancia de DSM: valor predeterminado: m5.xlarge
+ Tamaño de la instancia de base de datos: valor predeterminado: 200 GB
+ Tipo de instancia de RDS: valor predeterminado: db.m5.large
+ *Bastiones de clientes: se le proporcionan bastiones* SSH o RDP (o ambos) en la cuenta de servicios compartidos para acceder a otros hosts de su entorno AMS. Para acceder a la red AMS como usuario (SSH/RDP), you must use "customer" Bastions as the entry point. The network path originates from the on-premise network, goes through DX/VPNa la pasarela de tránsito (TGW) y, a continuación, se enruta a la VPC de servicios compartidos. Una vez que pueda acceder al bastión, podrá pasar a otros hosts del entorno AMS, siempre que se haya concedido la solicitud de acceso.
+ Los bastiones SSH requieren las siguientes entradas.
+ Capacidad de instancia deseada del bastión SSH: valor predeterminado: 2.
+ Número máximo de instancias de SSH Bastion: valor predeterminado: 4.
+ Instancias mínimas de SSH Bastion: valor predeterminado -2.
+ Tipo de instancia de SSH Bastion: valor predeterminado: m5.large (se puede cambiar para ahorrar costes; por ejemplo, un t3.medium).
+ Entrada de SSH Bastion CIDRs: rangos de direcciones IP desde los que los usuarios de la red acceden a SSH Bastions.
+ Los bastiones RDP de Windows requieren las siguientes entradas.
+ Tipo de instancia de bastión RDP: valor predeterminado: t3.medium.
+ Sesiones mínimas deseadas de RDP Bastion: valor predeterminado: 2.
+ Número máximo de sesiones de RDP: valor predeterminado -10.
+ Tipo de configuración de RDP Bastion: puede elegir una de las siguientes configuraciones
+ SecureStandard = Un usuario recibe un bastión y solo un usuario puede conectarse al bastión.
+ SecureHA = Un usuario recibe dos bastiones en dos zonas de disponibilidad diferentes a los que conectarse y solo un usuario puede conectarse al bastión.
+ SharedStandard = Un usuario recibe un bastión al que conectarse y dos usuarios pueden conectarse al mismo bastión a la vez.
+ sharedHA = Un usuario recibe dos bastiones en dos zonas de disponibilidad diferentes para conectarse y dos usuarios pueden conectarse al mismo bastión a la vez.
+ Entrada de RDP del cliente CIDRs: rangos de direcciones IP desde los que los usuarios de su red accederán a RDP Bastions.
# Actualizaciones de los servicios compartidos: Multi-Account Landing Zone
AMS publica los planos de datos a las cuentas gestionadas mensualmente, sin previo aviso.
AMS utiliza la unidad organizativa principal para proporcionar servicios compartidos, como el acceso, las redes, el EPS, el almacenamiento de registros y la agregación de alertas en su zona de destino multicuenta. AMS es responsable de abordar las vulnerabilidades, los parches y las implementaciones de estos servicios compartidos. AMS actualiza periódicamente los recursos utilizados para proporcionar estos servicios compartidos para que los usuarios tengan acceso a las funciones y actualizaciones de seguridad más recientes. Las actualizaciones suelen realizarse mensualmente. Los recursos que forman parte de estas actualizaciones son:
+ Cuentas que forman parte de la OU principal.
La cuenta de administración, la cuenta de servicios compartidos, la cuenta de red, la cuenta de seguridad y la cuenta de archivo de registros tienen recursos para los bastiones de RDP y SSH, los proxies, los hosts de administración y la seguridad de los terminales (EPS), que normalmente se actualizan todos los meses. AMS utiliza EC2 despliegues inmutables como parte de la infraestructura de servicios compartidos.
+ El nuevo AMS AMIs incorpora las últimas actualizaciones.
**nota**
Los operadores del AMS utilizan un tipo de cambio de supresión de alarmas (CT) interno al ejecutar los cambios en el plano de datos y la RFC correspondiente a ese CT aparece en su lista de RFC. Esto se debe a que, a medida que se implementa la versión del plano de datos, es posible que varias infraestructuras se cierren, se reinicien o se desconecten, o que se produzcan picos de CPU u otros efectos derivados del despliegue que activen alarmas que, durante el despliegue del plano de datos, son ajenas. Una vez finalizada la implementación, se comprueba que toda la infraestructura funciona correctamente y se vuelven a activar las alarmas.
# Cuenta de Log Archive
La cuenta Log Archive sirve como centro central para archivar los registros en su entorno de landing zone multicuenta de AMS. Hay un bucket de S3 en la cuenta que contiene copias de los archivos de registro de AWS CloudTrail y AWS Config de cada una de las cuentas del entorno de landing zone multicuenta de AMS. Puede usar esta cuenta para su solución de registro centralizado con AWS Firehose o Splunk, etc. El acceso de AMS a esta cuenta está limitado a unos pocos usuarios y está restringido a los auditores y los equipos de seguridad para las investigaciones forenses y de conformidad relacionadas con la actividad de la cuenta.
![\[Log Archive Account diagram showing Aggregated CloudTrail Logs and Aggregated Config Logs icons.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/malzLogAccount.png)
# Cuenta de seguridad
La cuenta de seguridad es el eje central de las operaciones relacionadas con la seguridad de la vivienda y el punto principal desde el que se canalizan las notificaciones y alertas a los servicios del plano de control de la AMS. Además, la cuenta de seguridad incluye la cuenta de administración de Amazon Guard Duty y el agregador de AWS Config.
![\[Security Account diagram showing GuardDuty Master, Simple Notification System, and Config Aggregator.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/malzSecurityAccount.png)
# Tipos de cuentas de aplicaciones
Las cuentas de aplicación son cuentas de AWS dentro de la arquitectura de landing zone administrada por AMS que se utilizan para alojar las cargas de trabajo. AMS ofrece tres tipos de cuentas de aplicaciones:
+ [Cuentas de aplicaciones administradas por AMS](application-account-ams-managed.md)
+ [Cuentas AMS Accelerate](malz-accelerate-account.md)
+ [Cuentas de aplicaciones administradas por el cliente](application-account-cust-man.md)
Las cuentas de aplicación se agrupan de OUs forma diferente en AWS Organizations según el tipo de cuenta de aplicación:
+ Unidad organizativa raíz:
1. Aplicaciones: OU
+ OU gestionada: cuentas gestionadas por AMS
+ OU de desarrollo: cuentas administradas por AMS con el modo de desarrollador habilitado
1. Accelerate OU: AMS Accelerate Application cuentas
1. OU gestionada por el cliente: cuentas de aplicaciones gestionadas por el cliente
Las cuentas de aplicación se aprovisionan mediante una RFC enviada desde la cuenta de administración:
+ [Crear una cuenta de aplicación con VPC ct-1zdasmc2ewzrs](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-application-account-with-vpc.html)
+ Crear una cuenta de [Accelerate](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html) ct-2p93tyd5angmi
+ [Crear una cuenta de aplicación gestionada por el cliente ct-3pwbixz27n3tn](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html)
# Cuentas de aplicaciones administradas por AMS
Las cuentas de aplicaciones gestionadas íntegramente por AMS se denominan cuentas de aplicaciones gestionadas por AMS, en las que AMS realiza algunas o todas las tareas operativas, como la gestión de solicitudes de servicio, la gestión de incidentes, la gestión de la seguridad, la gestión de la continuidad (copias de seguridad), la gestión de parches, la optimización de costes o la supervisión y gestión de eventos de la infraestructura.
La cantidad de tareas que realiza AMS depende del modo de gestión de cambios que seleccione. Las cuentas gestionadas por AMS admiten distintos modos de gestión de cambios:
+ [Modo RFC](rfc-mode.md)
+ [Modo de cambio directo en AMS](direct-change-mode-section.md)
+ [Catálogo de servicios de AMS y AWS](ams-service-catalog-section.md)
+ [Modo AMS Advanced Developer](developer-mode-section.md)
+ [Modo de aprovisionamiento de autoservicio en AMS](self-service-provisioning-section.md)
Para obtener más información sobre la gestión de cambios y los diferentes modos, consulte. [Modos de administración de cambios](using-change-management.md)
Hay algunos servicios de AWS que puede usar en su cuenta administrada por AMS sin la administración de AMS. La lista de estos servicios de AWS y cómo añadirlos a su cuenta de AMS se describen en la sección [Aprovisionamiento de autoservicio](https://docs.aws.amazon.com/managedservices/latest/userguide/self-service-provisioning-section.html).
# Cuentas AMS Accelerate
AMS Accelerate es el plan de operaciones de AMS que permite operar la infraestructura de AWS que soporta cargas de trabajo. Puede beneficiarse de los servicios operativos de AMS Accelerate, como la supervisión y las alertas, la gestión de incidentes, la gestión de la seguridad y la gestión de copias de seguridad, sin tener que pasar por una nueva migración, sufrir tiempos de inactividad ni cambiar la forma en que utiliza AWS. AMS Accelerate también ofrece un complemento de parches opcional para cargas de trabajo EC2 basadas que requieren la aplicación de parches con regularidad.
Con AMS Accelerate, tiene la libertad de usar, configurar e implementar todos los servicios de AWS de forma nativa o con las herramientas que prefiera. Utilizará los mecanismos de acceso y cambio que prefiera, mientras que AMS aplica constantemente prácticas comprobadas que le ayudan a ampliar su equipo, optimizar los costes, aumentar la seguridad y la eficiencia y mejorar la resiliencia.
**nota**
Las cuentas AMS Accelerate de AMS Advanced no cuentan con la administración de cambios de AMS (RFCs) ni con la consola AMS Advanced. En cambio, tienen la consola y la funcionalidad AMS Accelerate.
Las cuentas de Accelerate solo se pueden aprovisionar desde tu cuenta de AMS multicuenta de landing zone Management. Accelerate ofrece diferentes capacidades operativas. Para obtener más información, consulte la [descripción del servicio Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html).
+ Seguirás disfrutando de algunas de las funciones de las cuentas principales de multicuenta landing zone (MALZ), como el registro centralizado, la facturación única, el Config Aggregator en la cuenta de seguridad y. SCPs
+ AMS Accelerate no ofrece algunos servicios avanzados de AMS, como el EPS, la gestión de accesos, la gestión de cambios y el aprovisionamiento. Le recomendamos que siga los siguientes pasos para acceder a la pasarela de tránsito (TGW) y configurarla.
Para obtener más información sobre Accelerate, consulta [Qué es Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/what-is-acc.html).
## Cómo crear su cuenta de Accelerate
Para crear una cuenta de Accelerate, siga los pasos que se describen aquí [Crear una cuenta de Accelerate](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html#deployment-managed-management-account-create-accelerate-account-info).
## Acceder a su cuenta de Accelerate
Después de aprovisionar una cuenta de Accelerate en tu cuenta multicuenta de landing zone (MALZ), tendrás que asumir un rol con permisos de [acceso administrativo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator) en la cuenta. `AccelerateDefaultAdminRole`
Para acceder a la nueva cuenta de Accelerate:
1. Inicie sesión en la consola de IAM de la cuenta de administración con el `CustomerDefaultAssumeRole` rol.
1. En la consola de IAM, en la barra de navegación, elige tu nombre de usuario.
1. Elija **Switch Role**. Si es la primera vez que elige esta opción, aparecerá una página con más información. Después de leerla, elija **Switch Role (Cambiar rol)**. Si borra las cookies del navegador, esta página podría aparecer de nuevo.
1. En la página **Switch Role**, escriba el ID de cuenta de Accelerate y el nombre del rol que se va a asumir:`AccelerateDefaultAdminRole`.
Ahora que tiene acceso, puede crear nuevos roles de IAM para seguir accediendo a su entorno. Si desea aprovechar la federación de SAML para su cuenta de Accelerate, consulte [Permitir que los usuarios federados de SAML 2.0 accedan a la consola de administración de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html).
## Cómo conectar tu cuenta de Accelerate con Transit Gateway
AMS no administra la configuración de red de una cuenta de Accelerate. Tiene la opción de gestionar su propia red mediante AWS APIs (consulte [Networking Solutions](https://aws.amazon.com/solutionspace/networking/)) o conectarse a la red MALZ gestionada por AMS, mediante la Transit Gateway (TGW) existente implementada en AMS MALZ.
**nota**
Solo puede tener una VPC asociada al TGW si la cuenta Accelerate se encuentra en la misma región de AWS. Para obtener más información, consulte [Transit Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html).
Para añadir tu cuenta de Accelerate a Transit Gateway, solicita una nueva ruta mediante el tipo de cambio [Deployment \$1 Managed landing zone \$1 Networking account \$1 Add static route](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) e incluye esta información:
+ **Agujero negro**: True para indicar que el objetivo de la ruta no está disponible. Haga esto cuando Transit Gateway vaya a eliminar el tráfico de la ruta estática. Es False para enrutar el tráfico al ID de adjunto de TGW especificado. El valor predeterminado es “false” (falso).
+ **DestinationCidrBlock**: el rango IPV4 CIDR utilizado para las coincidencias de destino. Las decisiones de direccionamiento se basan en la coincidencia más específica. Ejemplo: 10.0.2.0/24.
+ **TransitGatewayAttachmentId**: El identificador adjunto de TGW que servirá como objetivo de la tabla de rutas. Si **Blackhole** es falso, este parámetro es obligatorio; de lo contrario, deje este parámetro en blanco. Ejemplo: tgw-attach-04eb40d1e14ec7272.
+ **TransitGatewayRouteTableId**: El ID de la tabla de rutas de TGW. Ejemplo: tgw-rtb-06ddc751c0c0c881c.
Cree rutas en las tablas de rutas de TGW para conectarse a esta VPC:
1. De forma predeterminada, esta VPC no podrá comunicarse con ninguna otra de la red VPCs MALZ.
1. Decida con su arquitecto de soluciones con qué VPCs quiere que se comunique esta VPC de Accelerate.
1. Envíe una [implementación \$1 Managed landing zone \$1 Cuenta de red \$1 Agregue el tipo de cambio de ruta estática](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) e incluya esta información:
+ **Agujero negro**: Su valor es verdadero para indicar que el objetivo de la ruta no está disponible. Haga esto cuando Transit Gateway vaya a eliminar el tráfico de la ruta estática. Es False para enrutar el tráfico al ID de adjunto de TGW especificado. El valor predeterminado es “false” (falso).
+ **DestinationCidrBlock**: el rango IPV4 CIDR utilizado para las coincidencias de destino. Las decisiones de direccionamiento se basan en la coincidencia más específica. Ejemplo: 10.0.2.0/24.
+ **TransitGatewayAttachmentId**: El identificador adjunto de TGW que servirá como objetivo de la tabla de rutas. Si **Blackhole** es falso, este parámetro es obligatorio; de lo contrario, deje este parámetro en blanco. Ejemplo: tgw-attach-04eb40d1e14ec7272.
+ **TransitGatewayRouteTableId**: El ID de la tabla de rutas de TGW. Ejemplo: tgw-rtb-06ddc751c0c0c881c.
**Conexión de una nueva VPC de una cuenta de Accelerate a la red de zonas de aterrizaje multicuenta de AMS (creación de un adjunto de VPC de TGW**):
1. En su cuenta de red de landing zone con varias cuentas, abra la consola de [Amazon VPC](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways (Puertas de enlace de tránsito)**. Registre el identificador de TGW de la pasarela de tránsito que ve.
1. En su cuenta de Accelerate, abra la [consola de Amazon VPC](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Adjuntos de Transit Gateway** > **Crear adjunto de Transit Gateway**. Haga estas elecciones:
+ Para el ID de **Transit Gateway, elige el ID** de Transit Gateway que registraste en el paso 2.
+ En **Tipo de vinculación**, elija **VPC**.
+ En **VPC Attachment (Vinculación de VPC)**, puede escribir un nombre para la **Attachment name tag (Etiqueta de nombre de vinculación)**.
+ Elija si desea habilitar **DNS Support** and **IPv6 Support**.
+ En **VPC ID (ID de VPC)**, elija la VPC que desee asociar a la puerta de enlace de tránsito. Esta VPC debe tener una subred asociada como mínimo.
+ En **Subred IDs**, seleccione una subred para cada zona de disponibilidad que utilizará la puerta de enlace de tránsito para enrutar el tráfico. Debe seleccionar al menos una subred. Solo puede seleccionar una subred por zona de disponibilidad.
1. Elija **Create attachment (Crear vinculación)**. Registre el ID del adjunto TGW recién creado.
**Asociar el accesorio del TGW a una** tabla de rutas:
1. Decida a qué tabla de enrutamiento de TGW quiere asociar la VPC. Recomendamos crear una nueva tabla de rutas de aplicaciones para la cuenta Accelerate VPCs mediante el tipo de cambio Deployment \$1 Managed landing zone \$1 Networking account \$1 Create transit gateway route table (ct-3dscwaeyi6cup).
1. Envíe un RFC [de Management \$1 Managed landing zone \$1 Cuenta de red \$1 Asocie el adjunto de TGW](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-networking-account-associate-tgw-attachment.html) (ct-3nmhh0qr338q6) a la cuenta de red para asociar el adjunto de VPC o TGW a la tabla de enrutamiento que seleccione.
**Cree rutas en las tablas de rutas de TGW para conectarse a esta VPC**:
1. De forma predeterminada, esta VPC no podrá comunicarse con ninguna otra VPCs de tu red de landing zone multicuenta.
1. Decida con su arquitecto de soluciones con qué VPCs desea que se comunique esta VPC de cuenta de Accelerate.
1. Envíe un RFC de [despliegue \$1 Managed landing zone \$1 Cuenta de red \$1 Agregue un RFC de ruta estática](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) a la cuenta de red para crear las rutas de TGW que necesite.
**Configuración de las tablas de rutas de VPC para que apunten a la pasarela de tránsito multicuenta de AMS para la zona de aterrizaje**:
1. Decida con su arquitecto de soluciones qué tráfico quiere enviar a la pasarela de tránsito de la zona de aterrizaje multicuenta de AMS.
1. Envíe un RFC de [despliegue \$1 Managed landing zone \$1 Cuenta de red \$1 Agregue un RFC de ruta estática](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) a la cuenta de red para crear las rutas de TGW que necesite.
# Cuentas de aplicaciones administradas por el cliente
Puede crear cuentas que AMS no administre de la manera estándar. Estas cuentas se denominan cuentas gestionadas por el cliente y te permiten gestionar por tu cuenta la infraestructura de las cuentas y, al mismo tiempo, disfrutar de las ventajas de la arquitectura centralizada gestionada por AMS.
Las cuentas gestionadas por el cliente no tienen acceso a la consola AMS ni a ninguno de los servicios que ofrecemos (parches, copias de seguridad, etc.).
Las cuentas gestionadas por el cliente solo se pueden aprovisionar desde tu cuenta de gestión de zonas de landing zone multicuenta de AMS.
Los distintos modos de AMS funcionan de forma diferente con las cuentas de aplicación; para obtener más información sobre los modos, consulte los [modos de AWS Managed Services](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/ams-modes.html).
Para crear su cuenta de aplicación administrada por el cliente, consulte Cuenta [de administración \$1 Crear una cuenta de aplicación administrada por el cliente](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html).
Para eliminar una cuenta de aplicación gestionada por el cliente, utilice Cuenta [de gestión \$1 Cuenta de aplicación externa.](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html) (El Código de [Confirmación de Offboarding](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-application-account-confirm-offboarding.html) no se aplica a las cuentas de aplicaciones administradas por el cliente).
# Acceder a tu cuenta gestionada por el cliente
Tras aprovisionar una cuenta gestionada por el cliente (CMA) en una zona de aterrizaje multicuenta (MALZ)`CustomerDefaultAdminRole`, se asigna a la cuenta un rol de administrador que debes asumir, mediante la federación de SAML, para configurar la cuenta.
Para acceder a la CMA:
1. Inicie sesión en la consola de IAM de la cuenta de administración con el **CustomerDefaultAssumeRole**rol.
1. En la consola de IAM, en la barra de navegación, elige tu nombre de usuario.
1. Elija **Switch Role**. Si es la primera vez que elige esta opción, aparecerá una página con más información. Después de leerla, elija **Switch Role (Cambiar rol)**. Si borra las cookies del navegador, esta página podría aparecer de nuevo.
1. En la página **Switch Role**, escriba el ID de la cuenta gestionada por el cliente y el nombre del rol que se va a asumir: **CustomerDefaultAdminRole**.
Ahora que tiene acceso, puede crear nuevos roles de IAM para seguir accediendo a su entorno. Si desea aprovechar la federación de SAML para su cuenta de CMA, consulte [Permitir que los usuarios federados de SAML 2.0 accedan a la consola de administración de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html).
# Cómo conectar tu CMA con Transit Gateway
AMS no administra la configuración de red de las cuentas administradas por el cliente (CMAs). Tiene la opción de gestionar su propia red mediante AWS APIs (consulte [Networking Solutions](https://aws.amazon.com/solutionspace/networking/)) o conectarse a la red de landing zone multicuenta gestionada por AMS, mediante la Transit Gateway (TGW) existente implementada en AMS MALZ.
**nota**
Solo puede tener una VPC conectada al TGW si la CMA se encuentra en la misma región de AWS. [Para obtener más información, consulte Transit Gateways.](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)
Para añadir su CMA a Transit Gateway, solicite una nueva ruta con la [cuenta de red \$1 Añadir ruta estática (ct-3r2ckznmt0a59](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html)) cambie de tipo e incluya esta información:
+ **Agujero negro**: Verdadero para indicar que el objetivo de la ruta no está disponible. Haga esto cuando Transit Gateway vaya a eliminar el tráfico de la ruta estática. Es False para enrutar el tráfico al ID de adjunto de TGW especificado. El valor predeterminado es “false” (falso).
+ **DestinationCidrBlock**: el rango IPV4 CIDR utilizado para las coincidencias de destino. Las decisiones de direccionamiento se basan en la coincidencia más específica. Ejemplo: `10.0.2.0/24`.
+ **TransitGatewayAttachmentId**: El identificador adjunto de TGW que servirá como objetivo de la tabla de rutas. Si **Blackhole** es falso, este parámetro es obligatorio; de lo contrario, deje este parámetro en blanco. Ejemplo: `tgw-attach-04eb40d1e14ec7272`.
+ **TransitGatewayRouteTableId**: El ID de la tabla de rutas de TGW. Ejemplo: `tgw-rtb-06ddc751c0c0c881c`.
**Conexión de una nueva VPC gestionada por el cliente a la red de zonas de destino multicuenta de AMS (creación de un adjunto de VPC de TGW**):
1. En su cuenta de red de landing zone con varias cuentas, abra la consola de [Amazon VPC](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit** Gateways. Registra el identificador de TGW de la pasarela de transporte que veas.
1. En tu cuenta gestionada por el cliente, abre la consola de [Amazon VPC](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Adjuntos de Transit Gateway** > **Crear adjunto de Transit Gateway**. Haga estas elecciones:
1. Para el ID de **Transit Gateway, elige el ID** de Transit Gateway que registraste en el paso 2.
1. En **Tipo de vinculación**, elija **VPC**.
1. En **VPC Attachment (Vinculación de VPC)**, puede escribir un nombre para la **Attachment name tag (Etiqueta de nombre de vinculación)**.
1. Elija si desea habilitar **DNS Support** and **IPv6 Support**.
1. En **VPC ID (ID de VPC)**, elija la VPC que desee asociar a la puerta de enlace de tránsito. Esta VPC debe tener una subred asociada como mínimo.
1. En **Subred IDs**, seleccione una subred para cada zona de disponibilidad que utilizará la puerta de enlace de tránsito para enrutar el tráfico. Debe seleccionar al menos una subred. Solo puede seleccionar una subred por zona de disponibilidad.
1. Elija **Create attachment (Crear vinculación)**. Registre el ID del adjunto TGW recién creado.
**Asociar el accesorio del TGW a una** tabla de rutas:
Decida a qué tabla de enrutamiento de TGW quiere asociar la VPC. Recomendamos crear una nueva tabla de rutas de aplicaciones para Customer Managed VPCs mediante el envío de un RFC sobre despliegue \$1 Managed landing zone \$1 Cuenta de red \$1 Crear tabla de rutas de pasarela de tránsito (ct-3dscwaeyi6cup). Para asociar el adjunto de VPC o TGW a la tabla de rutas que seleccione, envíe un RFC de despliegue \$1 Managed landing zone \$1 Cuenta de red \$1 Asociar adjunto de TGW (ct-3nmhh0qr338q6) en la cuenta de red.
**Cree rutas en las tablas de rutas de TGW para conectarse a esta VPC**:
1. De forma predeterminada, esta VPC no podrá comunicarse con ninguna otra de su red de zonas VPCs de destino multicuenta.
1. Decida con su arquitecto de soluciones con qué VPCs quiere que se comunique esta VPC gestionada por el cliente. Envíe un RFC de despliegue \$1 Managed landing zone \$1 Cuenta de red \$1 Agregue un RFC de ruta estática (ct-3r2ckznmt0a59) a la cuenta de red para crear las rutas de TGW que necesite.
**nota**
Este CT (ct-3r2ckznmt0a59) no permite agregar rutas estáticas a la tabla de rutas principal EgressRouteDomain; si su CMA necesita permitir el tráfico de salida, envíe un RFC de administración \$1 Otros \$1 Otros (MOO) con el ct-0xdawir96cy7k.
**Configuración de las tablas de rutas de VPC para que apunten a la pasarela de tránsito de la zona de aterrizaje multicuenta de AMS**:
Decida con su arquitecto de soluciones qué tráfico quiere enviar a la pasarela de tránsito de la zona de aterrizaje multicuenta de AMS. Actualice las tablas de rutas de la VPC para enviar el tráfico al adjunto de TGW creado anteriormente
# Obtener ayuda operativa con sus cuentas gestionadas por el cliente
AMS puede ayudarle a gestionar las cargas de trabajo que ha desplegado en sus cuentas gestionadas por el cliente al incorporar la cuenta a AMS Accelerate. Con AMS Accelerate, puede beneficiarse de servicios operativos como la supervisión y las alertas, la gestión de incidentes, la gestión de la seguridad y la gestión de las copias de seguridad, sin tener que pasar por una nueva migración, sufrir tiempos de inactividad o cambiar su forma de utilizar. AWS AMS Accelerate también ofrece un complemento de parches opcional para las cargas de trabajo EC2 basadas en bases que requieren la aplicación de parches con regularidad. Con AMS Accelerate, podrá seguir utilizando, configurando e implementando todos los AWS servicios de forma nativa o con las herramientas que prefiera, tal y como hace con las cuentas gestionadas por clientes de AMS Advanced. Usted utiliza los mecanismos de acceso y cambio que prefiera, mientras que AMS aplica prácticas comprobadas que ayudan a ampliar su equipo, optimizar los costes, aumentar la seguridad y la eficiencia y mejorar la resiliencia. Para obtener más información, consulte la [descripción del servicio Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html).
Para incorporar su cuenta gestionada por el cliente a Accelerate, póngase en contacto con su CSDM y siga los pasos que se indican en [Cómo empezar a utilizar AMS](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/getting-started-acc.html) Accelerate.
**nota**
Las cuentas AMS Accelerate de AMS Advanced no cuentan con la gestión de cambios (solicitudes de cambio o RFCs) de AMS ni con la consola AMS Advanced. En su lugar, cuentan con la consola y la funcionalidad AMS Accelerate.
# Cuenta AMS Tools (migración de cargas de trabajo)
Su cuenta de herramientas de zona de destino multicuenta (con VPC) ayuda a acelerar los esfuerzos de migración, aumenta su posición de seguridad, reduce los costes y la complejidad y estandariza su patrón de uso.
Una cuenta de herramientas proporciona lo siguiente:
+ Un límite bien definido para el acceso a las instancias de replicación para los integradores de sistemas ajenos a sus cargas de trabajo de producción.
+ Le permite crear una cámara aislada para comprobar si una carga de trabajo contiene malware o rutas de red desconocidas antes de colocarla en una cuenta con otras cargas de trabajo.
+ Al tratarse de una configuración de cuenta definida, agiliza la incorporación y la preparación para la migración de las cargas de trabajo.
+ Rutas de red aisladas para proteger el tráfico desde las instalaciones -> -> Cuenta de herramientas CloudEndure -> imagen ingerida por AMS. Una vez ingerida una imagen, puede compartirla con la cuenta de destino mediante un RFC de AMS Management \$1 Advanced stack components \$1 AMI \$1 Share (ct-1eiczxw8ihc18).
Diagrama de arquitectura de alto nivel:
![\[Cuenta de AWS structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/high-level-diagram_v1.png)
Utilice el tipo de cambio Deployment \$1 Managed landing zone \$1 Management Account \$1 Create tools account (con VPC) (ct-2j7q1hgf26x5c) para implementar rápidamente una cuenta de herramientas e instanciar un proceso de ingestión de carga de trabajo en un entorno de zona de aterrizaje multicuenta. Consulte [Cuenta de administración, Cuenta de herramientas: creación (con VPC](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-malz-master-acct-create-tools-acct-col.html)).
**nota**
Recomendamos tener dos zonas de disponibilidad (AZs), ya que se trata de un centro de migración.
De forma predeterminada, AMS crea los siguientes dos grupos de seguridad (SGs) en cada cuenta. Confirme que estos dos SGs estén presentes. Si no están presentes, abra una nueva solicitud de servicio con el equipo de AMS para solicitarlos.
SentinelDefaultSecurityGroupPrivateOnlyEgressAll
InitialGarden-SentinelDefaultSecurityGroupPrivateOnly
Asegúrese de que las instancias de CloudEndure replicación se creen en la subred privada donde hay rutas de regreso a la red local. Puede confirmarlo asegurándose de que las tablas de enrutamiento de la subred privada tengan una ruta predeterminada de regreso a TGW. Sin embargo, si se realiza un corte de CloudEndure máquina, se debe utilizar una subred privada «aislada», donde no hay ninguna ruta de regreso a la red local y solo se permite el tráfico saliente de Internet. Es fundamental garantizar que la transición se produzca en la subred aislada para evitar posibles problemas con los recursos locales.
Requisitos previos:
1. **Nivel de soporte **Plus** o Premium.**
1. La cuenta de aplicación IDs de la clave KMS en la que AMIs se despliegan.
1. La cuenta de herramientas, creada como se describió anteriormente.
# AWS Servicio de migración de aplicaciones (AWS MGN)
AWS El [Servicio de migración de aplicaciones](https://aws.amazon.com/application-migration-service/) (AWS MGN) se puede utilizar en su cuenta de MALZ Tools mediante la función de `AWSManagedServicesMigrationRole` IAM que se crea automáticamente durante el aprovisionamiento de la cuenta de Tools. [Puede usar AWS MGN para migrar aplicaciones y bases de datos que se ejecutan en versiones compatibles de los sistemas operativos Windows y Linux.](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)
Para up-to-date obtener más información sobre el Región de AWS soporte, consulte [la Lista de servicios AWS regionales](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Si MGN no admite actualmente su preferido Región de AWS o si AWS MGN no admite actualmente el sistema operativo en el que se ejecutan sus aplicaciones, considere la posibilidad de utilizar la [CloudEndure migración](https://console.cloudendure.com/#/register/register) en su cuenta de herramientas. AWS
**Solicitar AWS la inicialización de MGN**
AMS debe [inicializar](https://docs.aws.amazon.com/mgn/latest/ug/mandatory-setup.html) AWS MGN antes del primer uso. Para solicitarlo para una nueva cuenta de Herramientas, envíe un RFC de administración \$1 Otros \$1 Otros desde la cuenta de Herramientas con estos detalles:
```
RFC Subject=Please initialize AWS MGN in this account
RFC Comment=Please click 'Get started' on the MGN welcome page here:
[ https://console.aws.amazon.com/mgn/home?region=*MALZ\$1PRIMARY\$1REGION*\$1/welcome](https://console.aws.amazon.com/mgn/home?region=AP-SOUTHEAST-2#/welcome) using all default values
to 'Create template' and complete the initialization process.
```
Una vez que AMS complete correctamente la RFC e inicialice AWS MGN en su cuenta de Tools, podrá utilizarla `AWSManagedServicesMigrationRole` para editar la plantilla predeterminada según sus necesidades.
![\[AWS MGN, configura el servicio de migración de aplicaciones.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/aws_mgn_firstrun.png)
# Habilitar el acceso a la nueva cuenta de AMS Tools
Una vez creada la cuenta de herramientas, AMS le proporciona un identificador de cuenta. El siguiente paso es configurar el acceso a la nueva cuenta. Siga estos pasos.
1. Actualice los grupos de Active Directory correspondientes a la cuenta correspondiente IDs.
Las nuevas cuentas creadas por AMS se aprovisionan con la política de funciones, así como con una ReadOnly función que permite a los usuarios archivar archivos. RFCs
La cuenta Tools también tiene un rol de IAM y un usuario adicionales disponibles:
+ Rol de IAM: `AWSManagedServicesMigrationRole`
+ Usuario de IAM: `customer_cloud_endure_user`
1. Solicite políticas y funciones que permitan a los miembros del equipo de integración de servicios configurar el siguiente nivel de herramientas.
Navegue hasta la consola AMS y archive lo siguiente RFCs:
1. Cree una clave KMS. Utilice [Crear clave KMS (auto)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-auto-col.html) o [Crear clave KMS (se requiere revisión)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-rr-col.html).
Al usar KMS para cifrar los recursos ingeridos, el uso de una única clave KMS que se comparte con el resto de las cuentas de la aplicación MultiAccount Landing Zone proporciona seguridad a las imágenes ingeridas, ya que se pueden descifrar en la cuenta de destino.
1. Comparta la clave KMS.
Utilice el tipo de cambio Management \$1 Advanced stack components \$1 KMS key \$1 Share (es necesario revisar) (ct-05yb337abq3x5) para solicitar que la nueva clave KMS se comparta con las cuentas de la aplicación en las que residirá la ingestión. AMIs
Ejemplo gráfico de la configuración final de una cuenta:
![\[AWS architecture diagram showing Migration VPC, IAM, and Permissions with various components and connections.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/WIGS_Account_ExpandedV1.png)
# Ejemplo de política de CloudEndure IAM preaprobada por AMS
Para ver una CloudEndure política de IAM preaprobada por AMS: desempaquete el archivo de ejemplo de [zona de aterrizaje de WIGS Cloud Endure](samples/wigs-ce-lz-examples.zip) y abra el. `customer_cloud_endure_policy.json`
# Prueba de la conectividad y la end-to-end configuración de la cuenta de AMS Tools
1. Comience por configurar CloudEndure e instalar el CloudEndure agente en un servidor que se replicará en AMS.
1. Cree un proyecto en CloudEndure.
1. Introduzca las AWS credenciales compartidas cuando realizó los requisitos previos, a través del administrador de secretos.
1. En la **configuración de replicación**:
1. Seleccione los dos grupos de seguridad «Sentinel» de AMS (solo privados y EgressAll) en la **opción Elija los grupos de seguridad que desee aplicar a los servidores de replicación**.
1. Defina las opciones de transición para las máquinas (instancias). Para obtener información, consulte el [paso 5. Corte](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-factory-cloudendure/step5.html)
1. **Subred**: subred privada.
1. **Grupo de seguridad**:
1. Seleccione los dos grupos de seguridad AMS «Sentinel» (solo privados y EgressAll).
1. Las instancias de transición deben comunicarse con el Active Directory (MAD) administrado por AMS y con los puntos finales públicos: AWS
1. **IP elástica: ninguna**
1. **IP pública**: no
1. **Función de IAM: customer-mc-ec perfil** de 2 instancias
1. Configure las etiquetas según su convención de etiquetado interna.
1. Instale el CloudEndure agente en la máquina y busque la instancia de replicación que aparecerá en su cuenta de AMS en la EC2 consola.
El proceso de ingestión de AMS:
![\[Flowchart showing AMS ingestion process steps from customer instance to application deployment.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/Ingestion_Process_v1.png)
# Higiene de cuentas de AMS Tools
Querrá limpiar una vez que haya terminado en la cuenta, haya compartido la AMI y ya no necesite las instancias replicadas:
+ Tras la WIGs ingestión de instancias:
+ Instancia de transición: como mínimo, detenga o finalice esta instancia, una vez que se haya completado el trabajo, a través de la consola de AWS
+ Respaldos de AMI previos a la ingesta: elimínelos una vez que la instancia se haya ingerido y la instancia local haya terminado
+ Instancias ingeridas por AMS: apague la pila o finalice una vez que se haya compartido la AMI
+ Ingeridas por AMS AMIs: se eliminan una vez que se haya completado el uso compartido con la cuenta de destino
+ Limpieza final de la migración: documenta los recursos desplegados a través del modo Desarrollador para garantizar que la limpieza se realice de forma periódica, por ejemplo:
+ Grupos de seguridad
+ Recursos creados mediante la formación de nubes
+ ACK de red
+ Subred
+ VPC
+ Tabla de enrutamiento
+ Roles
+ Usuarios y cuentas
# Migración a gran escala - Migration Factory
Consulte [Presentación de la solución AWS CloudEndure Migration Factory](https://aws.amazon.com/about-aws/whats-new/2020/06/introducing-aws-cloudendure-migration-factory-solution/).