Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Comptes multi-comptes Landing Zone
**Topics**
+ [Compte de gestion](management-account.md)
+ [Compte réseau](networking-account.md)
+ [Compte Shared Services](shared-services-account.md)
+ [Compte Log Archive](logging-account.md)
+ [Compte de sécurité](security-account.md)
+ [Types de comptes d'applications](application-account.md)
+ [Compte AMS Tools (migration des charges de travail)](tools-account.md)
# Compte de gestion
Le compte de gestion est votre compte AWS initial lorsque vous commencez à vous inscrire à AMS. Il utilise AWS Organizations comme compte de gestion (également connu sous le nom de compte payeur qui paie les frais de tous les comptes membres), ce qui permet au compte de créer et de gérer financièrement des comptes de membres. Il contient le framework AWS Landing Zone (ALZ), les ensembles de configurations de comptes, les politiques de contrôle des services d'AWS Organization (SCPs), etc.
Pour plus d'informations sur l'utilisation d'un compte de gestion, consultez la section [Meilleures pratiques relatives au compte de gestion](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html).
Le schéma suivant fournit une vue d'ensemble des ressources contenues dans le compte de gestion.
![\[Compte de gestion overview showing AMS Customer Region and various Services AWS and features.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/management-account.png)
## Ressources du compte de gestion
Hormis les services standard ci-dessus, aucune ressource AWS supplémentaire n'est créée dans le compte de gestion lors de l'intégration. Les entrées suivantes sont requises lors de l'intégration à AMS :
+ *ID du compte de gestion* : ID du compte AWS que vous avez créé initialement.
+ *E-mails des comptes principaux* : indiquez les e-mails à associer à chacun des comptes principaux : réseau, services partagés, journalisation et compte de sécurité.
+ *Région de service* : indiquez la région AWS dans laquelle toutes les ressources de votre zone d'atterrissage AMS seront déployées.
# Compte réseau
Le compte réseau sert de hub central pour le routage réseau entre les comptes de zone de landing zone multi-comptes AMS, votre réseau local et le trafic de sortie vers Internet. En outre, ce compte contient des bastions DMZ publics qui constituent le point d'entrée permettant aux ingénieurs AMS d'accéder aux hôtes de l'environnement AMS. Pour plus de détails, consultez le schéma de haut niveau du compte réseau ci-dessous.
![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/malzNetworkAccount.png)
# Architecture des comptes réseau
Le schéma suivant décrit l'environnement de la zone d'atterrissage multi-comptes AMS, en présentant les flux de trafic réseau entre les comptes, et constitue un exemple de configuration hautement disponible.
![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW-2.png)
![\[Diagram showing network traffic flow between Comptes AWS, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)
AMS configure pour vous tous les aspects du réseau sur la base de nos modèles standard et des options que vous avez sélectionnées lors de l'intégration. Une conception de réseau AWS standard est appliquée à votre compte AWS, et un VPC est créé pour vous et connecté à AMS par VPN ou Direct Connect. Pour plus d'informations sur Direct Connect, consultez [AWS Direct Connect](https://aws.amazon.com/directconnect/). VPCs Les standards incluent la DMZ, les services partagés et un sous-réseau d'applications. Au cours du processus d'intégration, des informations supplémentaires VPCs peuvent être demandées et créées pour répondre à vos besoins (par exemple, divisions clients, partenaires). Après l'intégration, vous recevez un schéma de réseau : un document d'environnement qui explique comment votre réseau a été configuré.
**Note**
Pour plus d'informations sur les limites et les contraintes de service par défaut pour tous les services actifs, consultez la documentation relative [aux limites de service AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
La conception de notre réseau repose sur le [« principe du moindre privilège »](https://en.wikipedia.org/wiki/Principle_of_least_privilege) d'Amazon. Pour ce faire, nous acheminons tout le trafic entrant et sortant via une zone démilitarisée, à l'exception du trafic provenant d'un réseau fiable. Le seul réseau fiable est celui configuré entre votre environnement sur site et le VPC via l'utilisation d'un and/or VPN et d'AWS Direct Connect (DX). L'accès est accordé par le biais d'instances de bastion, empêchant ainsi l'accès direct aux ressources de production. Toutes vos applications et ressources résident dans des sous-réseaux privés accessibles via des équilibreurs de charge publics. Le trafic de sortie public passe par les passerelles NAT du VPC de sortie (dans le compte réseau) vers la passerelle Internet, puis vers Internet. Le trafic peut également passer par votre VPN ou Direct Connect vers votre environnement sur site.
# Connectivité réseau privé à l'environnement de zone d'atterrissage multi-comptes AMS
AWS propose une connectivité privée via un réseau privé virtuel (VPN) ou des lignes dédiées avec AWS Direct Connect. La connectivité privée dans votre environnement multi-comptes est configurée à l'aide de l'une des méthodes décrites ci-dessous :
+ Connectivité Edge centralisée à l'aide de Transit Gateway
+ Connexion du and/or VPN Direct Connect (DX) aux clouds privés virtuels du compte () VPCs
# Connectivité périphérique centralisée à l'aide d'une passerelle de transit
AWS Transit Gateway est un service qui vous permet de connecter votre réseau VPCs et celui de votre réseau sur site à une passerelle unique. La passerelle de transit (TGW) peut être utilisée pour consolider votre connectivité périphérique existante et l'acheminer via un ingress/egress point unique. La passerelle de transit est créée dans le compte réseau de votre environnement multi-comptes AMS. Pour plus d'informations sur la passerelle de transit, consultez [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
La passerelle AWS Direct Connect (DX) est utilisée pour connecter votre connexion DX via une interface virtuelle de transit à la VPCs ou aux passerelles VPNs connectées à votre passerelle de transit. Vous associez une passerelle Direct Connect à la passerelle de transit. Créez ensuite une interface virtuelle de transit pour votre connexion AWS Direct Connect à la passerelle Direct Connect. Pour plus d'informations sur les interfaces virtuelles DX, consultez la section [Interfaces virtuelles AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html).
Cette configuration offre les avantages suivants. Vous pouvez :
+ Gérez une seule connexion pour plusieurs VPCs ou pour celles VPNs qui se trouvent dans la même région AWS.
+ Faites connaître les préfixes sur site sur AWS, et d'AWS sur site.
**Note**
[Pour plus d'informations sur l'utilisation d'un DX avec les services AWS, consultez la section Resiliency Toolkit Classic.](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html) Pour plus d'informations, consultez la section [Associations de Transit Gateway](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html).
![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/malz-cent-edge.png)
Pour augmenter la résilience de votre connectivité, nous vous recommandons d'associer au moins deux interfaces virtuelles de transit provenant de différents sites AWS Direct Connect à la passerelle Direct Connect. Pour plus d'informations, consultez la [recommandation de résilience d'AWS Direct Connect](https://aws.amazon.com/directconnect/resiliency-recommendation/).
# Connexion d'un DX ou d'un VPN au compte VPCs
Avec cette option, les environnements VPCs de zone d'atterrissage multi-comptes de votre AMS sont directement connectés à Direct Connect ou à un VPN. Le trafic circule directement depuis Direct Connect ou VPCs vers le VPN sans passer par la passerelle de transit.
# Ressources du compte réseau
Comme le montre le schéma du compte réseau, les composants suivants sont créés dans le compte et nécessitent votre saisie.
**Le compte réseau en contient deux VPCs : le VPC de **sortie et le VPC** **DMZ, également connu sous le nom de VPC** de périmètre.**
# Responsable du réseau AWS
AWS Network Manager est un service qui vous permet de visualiser vos réseaux de passerelles de transit (TGW) sans frais supplémentaires pour AMS. Il fournit une surveillance centralisée du réseau à la fois sur les ressources AWS et sur les réseaux sur site, une vue globale unique de leur réseau privé sous forme de diagramme topologique et de carte géographique, ainsi que des mesures d'utilisation, telles que l'état de in/out, packets in/out, packets dropped, and alerts for changes in the topology, routing, and up/down connexion en octets. Pour plus d'informations, consultez [AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/).
Utilisez l'un des rôles suivants pour accéder à cette ressource :
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole
# VPC de sortie
Le VPC de sortie est principalement utilisé pour le trafic de sortie vers Internet et est composé de sous-réseaux répartis dans un maximum public/private de trois zones de disponibilité (). AZs Les passerelles de traduction d'adresses réseau (NAT) sont mises en service dans les sous-réseaux publics, et les pièces jointes VPC de passerelle de transit (TGW) sont créées dans les sous-réseaux privés. Le trafic Internet sortant de tous les réseaux entre via le sous-réseau privé via TGW, où il est ensuite acheminé vers un NAT via des tables de routage VPC.
Pour ceux VPCs qui contiennent des applications destinées au public dans un sous-réseau public, le trafic provenant d'Internet est contenu dans ce VPC. Le trafic de retour n'est pas routé vers le TGW ou le VPC de sortie, mais renvoyé via la passerelle Internet (IGW) du VPC.
**Note**
Plage d'adresses CIDR VPC réseau : lorsque vous créez un VPC, vous devez spécifier une plage d'adresses IPv4 pour le VPC sous la forme d'un bloc de routage interdomaine sans classe (CIDR) ; par exemple, 10.0.16.0/24. Il s'agit du bloc CIDR principal pour votre VPC.
L'équipe de la zone d'atterrissage multi-comptes d'AMS recommande une plage de 24 (avec plus d'adresses IP) afin de fournir une certaine mémoire tampon au cas où d'autres ressources/appareils seraient déployés à l'avenir.
# Pare-feu de sortie Palo Alto géré
AMS fournit une solution de pare-feu de sortie gérée à Palo Alto, qui permet de filtrer le trafic sortant vers Internet pour tous les réseaux de l'environnement multicomptes Landing Zone (à l'exception des services destinés au public). Cette solution associe une technologie de pare-feu de pointe (Palo Alto VM-300) aux capacités de gestion de l'infrastructure d'AMS pour déployer, surveiller, gérer, dimensionner et restaurer l'infrastructure dans des environnements d'exploitation conformes. Les tiers, y compris Palo Alto Networks, n'ont pas accès aux pare-feux ; ils sont gérés uniquement par les ingénieurs d'AMS.
## Contrôle du trafic
La solution de pare-feu sortant géré gère une liste d'autorisations de domaines composée des domaines requis par AMS pour des services tels que les sauvegardes et les correctifs, ainsi que des domaines que vous avez définis. Lorsque le trafic Internet sortant est acheminé vers le pare-feu, une session est ouverte, le trafic est évalué et, s'il correspond à un domaine autorisé, le trafic est transféré vers la destination.
## Architecture
La solution de pare-feu de sortie géré suit un modèle de haute disponibilité, dans lequel deux à trois pare-feux sont déployés en fonction du nombre de zones de disponibilité (). AZs La solution utilise une partie de l'espace IP du VPC de sortie par défaut, mais fournit également une extension VPC (/24) pour les ressources supplémentaires nécessaires à la gestion des pare-feux.
![\[Network diagram showing Egress VPC with subnets, AMS Firewall VPC Extension, and associated resources.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/malz-pa-firewall-arch.png)
## Flux réseau
![\[AWS network architecture diagram showing Application, Networking, and Shared Services accounts with VPCs and subnets.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/malz-pa-firewall-net-flow.png)
![\[Traffic key showing different types of AWS network traffic with color-coded lines.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/malz-pa-firewall-net-flow-legend.png)
À un niveau élevé, le routage du trafic de sortie public reste le même, à l'exception de la manière dont le trafic est acheminé vers Internet depuis le VPC de sortie :
1. Le trafic de sortie destiné à Internet est envoyé au Transit Gateway (TGW) via la table de routage VPC
1. TGW achemine le trafic vers le VPC de sortie via la table de routage TGW
1. Le VPC achemine le trafic vers Internet via les tables de routage du sous-réseau privé
1. Dans l'environnement Multi-Account Landing Zone par défaut, le trafic Internet est envoyé directement à une passerelle de traduction d'adresses réseau (NAT). La solution de pare-feu géré reconfigure les tables de routage du sous-réseau privé pour pointer plutôt la route par défaut (0.0.0.0/0) vers une interface de pare-feu.
Les pare-feux eux-mêmes contiennent trois interfaces :
1. Interface sécurisée : interface privée pour recevoir le trafic à traiter.
1. Interface non fiable : interface publique pour envoyer du trafic vers Internet. Comme les pare-feux exécutent le NAT, les serveurs externes acceptent les demandes provenant de ces adresses IP publiques.
1. Interface de gestion : interface privée pour l'API du pare-feu, les mises à jour, la console, etc.
Tout au long du routage, le trafic est maintenu dans la même zone de disponibilité (AZ) afin de réduire le trafic inter-AZ. Le trafic ne se croise qu'en AZs cas de basculement.
## Modification de la liste d'autorisations
Après l'intégration, une liste d'autorisation par défaut nommée `ams-allowlist` est créée, contenant les points de terminaison publics requis par AMS ainsi que les points de terminaison publics pour appliquer des correctifs aux hôtes Windows et Linux. Une fois opérationnel, vous pouvez créer des RFC dans la console AMS sous la catégorie Management \$1 Managed Firewall \$1 Outbound (Palo Alto) pour créer ou supprimer des listes d'autorisation, ou modifier les domaines. Sachez que cela `ams-allowlist` ne peut pas être modifié. Les RFC sont gérées de manière entièrement automatisée (elles ne sont pas manuelles).
## Politique de sécurité personnalisée
Les politiques de sécurité déterminent s'il faut bloquer ou autoriser une session en fonction des attributs du trafic, tels que la zone de sécurité source et de destination, l'adresse IP source et de destination et le service. Les politiques de sécurité personnalisées sont prises en charge de manière entièrement automatisée RFCs. CTs pour créer ou supprimer une politique de sécurité se trouve dans la catégorie Gestion \$1 Pare-feu géré \$1 Outbound (Palo Alto), et le CT permettant de modifier une politique de sécurité existante se trouve dans la catégorie Déploiement \$1 Pare-feu géré \$1 Outbound (Palo Alto). Vous serez en mesure de créer de nouvelles politiques de sécurité, de modifier les politiques de sécurité ou de supprimer des politiques de sécurité.
**Note**
La politique de sécurité par défaut `ams-allowlist` ne peut pas être modifiée
## CloudWatch Tableaux de bord de sortie PA
Deux tableaux de bord fournissent une vue agrégée de Palo Alto (PA). Le tableau de bord **AMS-MF-PA-egress-config-dashboard** fournit un aperçu de la configuration PA, des liens vers des listes d'autorisation et une liste de toutes les politiques de sécurité, y compris leurs attributs. CloudWatch Le tableau de **bord AMS-MF-PA-Egress-Dashboard** peut être personnalisé pour filtrer les journaux de trafic. Par exemple, pour créer un tableau de bord pour une politique de sécurité, vous pouvez créer une RFC avec un filtre tel que :
```
fields @timestamp, @message
| filter @logStream like /pa-traffic-logs/
| filter @message like //
| parse @message "*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*," as x1, @x2, @x3, @x4, @type, @x6, @x7, @source_ip, @destination_ip, @source_nat_ip, @dest_nat_ip, @rule, @x13, @x14, @application, @x16, @from_zone, @to_zone, @x19, @x20, @x21, @x22, @session_id, @x24, @source_port, @destination_port, @source_nat_port, @destination_nat_port, @x29, @protocol, @action, @bytes, @bytes_sent, @bytes_recieved, @packets, @x36, @x37, @category, @x39, @x40, @x41, @source_country, @destination_country, @x44, @packets_sent, @packets_recieved, @session_end_reason, @x48, @x49, @x50
| display @timestamp, @rule, @action, @session_end_reason, @protocol, @source_ip, @destination_ip, @source_port, @destination_port, @session_id, @from_zone, @to_zone, @category, @bytes_sent, @bytes_recieved, @packets_sent, @packets_recieved, @source_country, @destination_country
```
## Modèle Failover
La solution de pare-feu inclut deux à trois hôtes Palo Alto (PA) (un par AZ). Les canaris Healthy Check suivent un horaire constant pour évaluer l'état de santé des hôtes. Si un hôte est identifié comme défaillant, AMS en est averti et le trafic correspondant à cette zone est automatiquement transféré vers un hôte sain situé dans une autre zone de disponibilité via une modification de la table de routage. Étant donné que le flux de travail de vérification de l'état s'exécute en permanence, si l'hôte redevient sain en raison de problèmes transitoires ou d'une correction manuelle, le trafic est redirigé vers la bonne zone de disponibilité avec l'hôte sain.
## Dimensionnement
AMS surveille le pare-feu pour vérifier les limites de débit et d'évolutivité. Lorsque les limites de débit dépassent les seuils de filigrane inférieurs (CPU/réseau), AMS reçoit une alerte. Un seuil bas indique que les ressources approchent de la saturation, atteignant un point où AMS évaluera les indicateurs au fil du temps et proposera des solutions de mise à l'échelle.
## Sauvegarde et restauration
Les sauvegardes sont créées lors du lancement initial, après toute modification de configuration et à intervalles réguliers. Les sauvegardes de lancement initiales sont créées par hôte, mais les modifications de configuration et les sauvegardes à intervalles réguliers sont effectuées sur tous les hôtes du pare-feu lorsque le flux de travail de sauvegarde est invoqué. Les ingénieurs d'AMS peuvent créer des sauvegardes supplémentaires en dehors de ces fenêtres ou fournir des informations de sauvegarde sur demande.
Les ingénieurs d'AMS peuvent effectuer la restauration des sauvegardes de configuration si nécessaire. Si une restauration est requise, elle aura lieu sur tous les hôtes afin de synchroniser la configuration entre les hôtes.
La restauration peut également avoir lieu lorsqu'un hôte a besoin du recyclage complet d'une instance. Une restauration automatique de la dernière sauvegarde a lieu lorsqu'une nouvelle EC2 instance est provisionnée. En général, les hôtes ne sont pas recyclés régulièrement et sont réservés en cas de panne grave ou de remplacement d'AMI requis. Les recyclages de l'hôte sont lancés manuellement et vous êtes averti avant qu'un recyclage ne soit effectué.
Outre les sauvegardes de configuration du pare-feu, vos règles de liste d'autorisation spécifiques sont sauvegardées séparément. Une sauvegarde est automatiquement créée lorsque les règles de liste d'autorisation que vous avez définies sont modifiées. La restauration de la sauvegarde de la liste d'autorisation peut être effectuée par un ingénieur AMS, si nécessaire.
## Mises à jour
La solution AMS Managed Firewall nécessite plusieurs mises à jour au fil du temps pour apporter des améliorations au système, des fonctionnalités supplémentaires ou des mises à jour du système d'exploitation (OS) ou du logiciel du pare-feu.
La plupart des modifications n'affecteront pas l'environnement d'exécution, comme la mise à jour de l'infrastructure d'automatisation, mais d'autres modifications, telles que la rotation des instances de pare-feu ou la mise à jour du système d'exploitation, peuvent provoquer des perturbations. Lorsqu'une interruption de service potentielle due à des mises à jour est évaluée, AMS coordonnera ses efforts avec vous pour tenir compte des périodes de maintenance.
## Accès de l'opérateur
Les opérateurs AMS utilisent leurs ActiveDirectory informations d'identification pour se connecter à l'appareil Palo Alto afin d'effectuer des opérations (par exemple, appliquer des correctifs, répondre à un événement, etc.). La solution conserve les journaux standard d'authentification des opérateurs AMS et de modification de configuration pour suivre les actions effectuées sur les hôtes Palo Alto.
## Journaux par défaut
Par défaut, les journaux générés par le pare-feu résident dans le stockage local de chaque pare-feu. Au fil du temps, les journaux locaux seront supprimés en fonction de l'utilisation du stockage. La solution AMS permet l'envoi en temps réel des journaux des machines vers CloudWatch les journaux ; pour plus d'informations, voir[CloudWatch Intégration des journaux](#networking-pa-firewall-cw-logs).
Les ingénieurs d'AMS ont toujours la possibilité d'interroger et d'exporter les journaux directement depuis les machines si nécessaire. En outre, les journaux peuvent être expédiés vers un Panorama appartenant au client ; pour plus d'informations, voir. [Intégration du Panorama](#networking-pa-firewall-panorama)
Les journaux collectés par la solution sont les suivants :
**Codes d'état RFC**
| Type de journal | Description |
| --- | --- |
| Trafic | Affiche une entrée pour le début et la fin de chaque session. Chaque entrée inclut la date et l'heure, les zones source et de destination, les adresses et les ports, le nom de l'application, le nom de la règle de sécurité appliquée au flux, l'action de la règle (autoriser, refuser ou supprimer), l'interface d'entrée et de sortie, le nombre d'octets et le motif de fin de session. La colonne Type indique si l'entrée concerne le début ou la fin de la session, ou si la session a été refusée ou abandonnée. Un « abandon » indique que la règle de sécurité qui a bloqué le trafic spécifiait « n'importe quelle » application, tandis qu'un « refus » indique que la règle a identifié une application spécifique. Si le trafic est supprimé avant que l'application ne soit identifiée, par exemple lorsqu'une règle supprime tout le trafic pour un service spécifique, l'application est indiquée comme « non applicable ». |
| Menace | Affiche une entrée pour chaque alarme de sécurité générée par le pare-feu. Chaque entrée inclut la date et l'heure, le nom ou l'URL de la menace, les zones source et de destination, les adresses et les ports, le nom de l'application, ainsi que l'action d'alarme (autoriser ou bloquer) et sa gravité. La colonne Type indique le type de menace, tel que « virus » ou « logiciel espion » ; la colonne Nom est la description ou l'URL de la menace ; et la colonne Catégorie représente la catégorie de menace (telle que « keylogger ») ou la catégorie d'URL. |
| Filtrage d'URL | Affiche les journaux des filtres d'URL, qui contrôlent l'accès aux sites Web et indiquent si les utilisateurs peuvent envoyer des informations d'identification aux sites Web. |
| Configuration | Affiche une entrée pour chaque modification de configuration. Chaque entrée inclut la date et l'heure, le nom d'utilisateur de l'administrateur, l'adresse IP à partir de laquelle la modification a été effectuée, le type de client (interface Web ou CLI), le type de commande exécutée, si la commande a réussi ou échoué, le chemin de configuration et les valeurs avant et après la modification. |
| Système | Affiche une entrée pour chaque événement du système. Chaque entrée inclut la date et l'heure, la gravité de l'événement et une description de l'événement. |
| Alarmes | Le journal des alarmes enregistre des informations détaillées sur les alarmes générées par le système. Les informations contenues dans ce journal sont également signalées dans Alarmes. Reportez-vous à la section « Définir les paramètres d'alarme ». |
| Authentification | Affiche des informations sur les événements d'authentification qui se produisent lorsque les utilisateurs finaux tentent d'accéder aux ressources réseau dont l'accès est contrôlé par les règles de politique d'authentification. Les utilisateurs peuvent utiliser ces informations pour résoudre les problèmes d'accès et pour ajuster la politique d'authentification utilisateur selon les besoins. En conjonction avec les objets de corrélation, les utilisateurs peuvent également utiliser les journaux d'authentification pour identifier les activités suspectes sur le réseau des utilisateurs, telles que les attaques par force brute. Les utilisateurs peuvent éventuellement configurer des règles d'authentification pour enregistrer les délais d'authentification. Ces délais concernent la période pendant laquelle un utilisateur ne doit s'authentifier qu'une seule fois pour une ressource, mais peut y accéder à plusieurs reprises. Le fait de consulter les informations relatives aux délais d'expiration aide les utilisateurs à décider s'il convient de les ajuster et de quelle manière. |
| Unifié | Affiche les dernières entrées du journal relatives au trafic, aux menaces, au filtrage des URL, aux WildFire soumissions et au filtrage des données dans une seule vue. La vue collective des journaux permet aux utilisateurs d'examiner et de filtrer ces différents types de journaux ensemble (au lieu de rechercher chaque ensemble de journaux séparément). Les utilisateurs peuvent également choisir les types de journaux à afficher : cliquez sur la flèche située à gauche du champ de filtre et sélectionnez trafic, menace, URL, données, and/or incendie de forêt pour afficher uniquement les types de journaux sélectionnés. |
## Gestion d'événements
AMS surveille en permanence la capacité, l'état de santé et la disponibilité du pare-feu. Les métriques générées par le pare-feu, ainsi que les métriques AWS/AMS générées, sont utilisées pour créer des alarmes qui sont reçues par les ingénieurs d'exploitation d'AMS, qui étudieront et résoudront le problème. Les alarmes actuelles concernent les cas suivants :
Alarmes liées aux événements :
+ Utilisation du processeur Firewall Dataplane
+ Utilisation du processeur - Processeur du plan de données (traitement du trafic)
+ L'utilisation des paquets du plan de données du pare-feu est supérieure à 80 %
+ Utilisation des paquets - Plan de données (traitement du trafic)
+ Utilisation des sessions du plan de données du pare-feu
+ Session de plan de données du pare-feu active
+ Utilisation agrégée du processeur du pare-feu
+ Utilisation du processeur dans l'ensemble CPUs
+ Failover par AZ
+ Alarmes en cas de basculement dans un AZ
+ Hôte Syslog défaillant
+ L'hôte Syslog échoue à la vérification de santé
Alarmes de gestion :
+ Alarme de défaillance du moniteur Health Check
+ Lorsque le flux de travail de contrôle de santé échoue de façon inattendue
+ Cela concerne le flux de travail lui-même, et non en cas d'échec de la vérification de l'état du pare-feu
+ Alarme d'échec de rotation des mots
+ Lorsque la rotation des mots de passe échoue
+ Le mot de passe utilisateur de l'API/du service est modifié tous les 90 jours
## Métriques
Toutes les mesures sont capturées et stockées CloudWatch dans le compte réseau. Vous pouvez les consulter en accédant à la console au compte réseau et en accédant à la CloudWatch console. **Les mesures individuelles peuvent être consultées sous l'onglet des métriques ou un tableau de bord à volet unique contenant certaines mesures et les métriques agrégées peuvent être consultées en accédant à l'onglet Tableau de bord et en sélectionnant AMS-MF-PA-Egress-Dashboard.**
Métriques personnalisées :
+ Vérification de l'état
+ Espace de nom : AMS/MF/PA/Egress
+ PARouteTableConnectionsByAZ
+ PAUnhealthyByInstance
+ PAUnhealthyAggregatedByAZ
+ PAHealthCheckLockState
+ Pare-feu généré
+ Espace de noms :/AMS/MF/PA/Egress
+ DataPlaneCPUUtilizationPCT
+ DataPlanePacketBuffferUtilization
+ poêle GPGateway UtilizationPct
+ panSessionActive
+ panSessionUtilization
## CloudWatch Intégration des journaux
CloudWatch L'intégration des journaux transfère les journaux des pare-feux vers les CloudWatch journaux, ce qui réduit le risque de perte de journaux en raison de l'utilisation du stockage local. Les journaux sont remplis en temps réel au fur et à mesure que les pare-feux les génèrent et peuvent être consultés à la demande via la console ou l'API.
Des requêtes complexes peuvent être créées pour l'analyse des journaux ou exportées au format CSV à l'aide d' CloudWatch Insights. En outre, le tableau de CloudWatch bord personnalisé du pare-feu géré par AMS affichera également un aperçu rapide des requêtes spécifiques du journal de trafic et une visualisation graphique du trafic et des atteintes aux politiques au fil du temps. L'utilisation de CloudWatch journaux permet également une intégration native à d'autres services AWS tels qu'AWS Kinesis.
**Note**
Les journaux PA ne peuvent pas être directement transférés vers un collecteur Syslog existant sur site ou tiers. La solution AMS Managed Firewall permet l'envoi en temps réel des journaux des machines PA vers AWS CloudWatch Logs. Vous pouvez utiliser la fonctionnalité CloudWatch Logs Insight pour exécuter des requêtes ad hoc. De plus, les journaux peuvent être expédiés vers la solution de gestion Panorama de votre Palo Alto. CloudWatch les journaux peuvent également être transférés vers d'autres destinations à l'aide des filtres CloudWatch d'abonnement. Pour en savoir plus sur Panorama, consultez la section suivante. Pour en savoir plus sur Splunk, consultez la section [Intégration à Splunk](https://docs.aws.amazon.com/managedservices/latest/userguide/enable-Splunk-log-push.html).
## Intégration du Panorama
AMS Managed Firewall peut, en option, être intégré à votre Panorama existant. Cela vous permet de visualiser les configurations du pare-feu depuis Panorama ou de transférer les journaux du pare-feu vers le Panorama. L'intégration de Panorama à AMS Managed Firewall est en lecture seule et les modifications de configuration des pare-feux depuis Panorama ne sont pas autorisées. Panorama est entièrement géré et configuré par vous, AMS se chargera uniquement de configurer les pare-feux pour communiquer avec lui.
## Licences
Le prix du pare-feu géré AMS dépend du type de licence utilisée (licence horaire ou licence BYOL) et de la taille de l'instance dans laquelle l'appliance s'exécute. Vous devez commander la taille des instances et les licences du pare-feu Palo Alto que vous préférez via AWS Marketplace.
+ Licences Marketplace : acceptez les termes et conditions du pack 1 de pare-feu de nouvelle génération de la série VM depuis le compte réseau de MALZ.
+ Licences BYOL : acceptez les termes et conditions du pare-feu de nouvelle génération de série VM (BYOL) depuis le compte réseau de MALZ et partagez le « code d'authentification BYOL » obtenu après l'achat de la licence à AMS.
## Limites
À l'heure actuelle, AMS prend en charge les pare-feux des séries VM-300 ou VM-500. Les configurations peuvent être trouvées ici : [Modèles de la série VM sur des instances AWS EC2 ](https://docs.paloaltonetworks.com/vm-series/10-0/vm-series-performance-capacity/vm-series-performance-capacity/vm-series-on-aws-models-and-instances.html),
**Note**
La solution AMS s'exécute en mode actif-actif, chaque instance PA de sa zone de zone de disponibilité gérant le trafic de sortie pour sa zone de disponibilité respective. Ainsi, avec deux AZs, chaque instance PA gère le trafic de sortie jusqu'à 5 Gbit/s et fournit efficacement un débit global de 10 Gbit/s sur deux instances. AZs Il en va de même pour toutes les limites de chaque AZ. Si le bilan de santé de l'AMS échoue, nous transférons le trafic de l'AZ présentant le mauvais PA vers une autre AZ, et pendant le remplacement de l'instance, la capacité est réduite aux AZs limites restantes.
AMS ne prend actuellement pas en charge les autres offres Palo Alto disponibles sur AWS Marketplace ; par exemple, vous ne pouvez pas demander le « pack de pare-feu de nouvelle génération de la série VM 2 ». Notez que la solution AMS Managed Firewall utilisant Palo Alto ne fournit actuellement qu'une offre de filtrage du trafic sortant, de sorte que l'utilisation de packs avancés de la série VM n'apporterait aucune fonctionnalité ou avantage supplémentaire.
## Exigences relatives à l'intégration
+ Vous devez consulter et accepter les conditions générales du pare-feu de nouvelle génération de la série VM de Palo Alto sur AWS Marketplace.
+ Vous devez confirmer la taille de l'instance que vous souhaitez utiliser en fonction de votre charge de travail attendue.
+ Vous devez fournir un bloc CIDR /24 qui n'entre pas en conflit avec les réseaux de votre environnement Multi-Account Landing Zone ou On-Prem. Il doit être de la même classe que le VPC de sortie (la solution fournit une extension VPC /24 au VPC de sortie).
## Tarification
Les coûts d'infrastructure de base d'AMS Managed Firewall sont divisés en trois facteurs principaux : l' EC2 instance qui héberge le pare-feu Palo Alto, la licence logicielle, les licences de la série Palo Alto VM et les intégrations. CloudWatch
Les prix suivants sont basés sur le pare-feu de la gamme VM-300.
+ EC2 Instances : le pare-feu Palo Alto fonctionne selon un modèle de haute disponibilité de 2 à 3 EC2 instances, l'instance étant basée sur les charges de travail attendues. Le coût de l'instance dépend de la région et du nombre de AZs
+ Par exemple us-east-1, m5.xlarge, 3 AZs
+ 0,192\$1 \$1 24 \$1 30 \$1 3 = 414,72\$1
+ https://aws.amazon.com/ec2/tarification/à la demande/
+ Licences Palo Alto : Le coût de la licence logicielle d'un pare-feu de nouvelle génération Palo Alto VM-300 dépend du nombre d'AZ ainsi que du type d'instance.
+ Par exemple us-east-1, m5.xlarge, 3 AZs
+ 0,87\$1 \$1 24 \$1 30 \$1 3 = 1879,20\$1
+ https://aws.amazon.com/marketplace/PP/B083M7JPKB ? ref\$1=srh\$1res\$1product\$1title \$1pdp -pricing
+ CloudWatch Intégration des journaux : l'intégration CloudWatch des journaux utilise des SysLog serveurs (EC2 - t3.medium), le NLB et les journaux. CloudWatch Le coût des serveurs est basé sur la région et le nombre de serveurs AZs, et le coût des NLB/CloudWatch journaux varie en fonction de l'utilisation du trafic.
+ Par exemple us-east-1, t3.medium, 3AZ
+ 0,0416\$1 \$1 24 \$1 30 \$1 3 = 89,86\$1
+ https://aws.amazon.com/ec2/tarification/à la demande/
+ https://aws.amazon.com/cloudwatch/tarification/
# Périmètre (DMZ) VPC
Le VPC Perimeter, ou DMZ, contient les ressources nécessaires aux ingénieurs des opérations AMS pour accéder aux réseaux AMS. Il contient 2 ou 3 sous-réseaux publics AZs, avec des hôtes SSH Bastions dans un groupe Auto Scaling (ASG) auquel les ingénieurs d'AMS Operations peuvent se connecter ou par tunnel. Les groupes de sécurité attachés aux bastions de la zone démilitarisée contiennent des règles relatives au port 22 en provenance d'**Amazon** Corp Networks.
*Plage d'adresses CIDR VPC DMZ* : lorsque vous créez un VPC, vous devez spécifier une plage d' IPv4 adresses pour le VPC sous la forme d'un bloc de routage interdomaine sans classe (CIDR) ; par exemple, 10.0.16.0/24. Il s'agit du bloc CIDR principal pour votre VPC.
**Note**
L'équipe AMS recommande une plage de 24 (avec plus d'adresses IP) pour fournir une certaine mémoire tampon au cas où d'autres ressources, telles qu'un pare-feu, seraient déployées à l'avenir.
# AWS Transit Gateway
AWS Transit Gateway (TGW) est un service qui vous permet de connecter vos Amazon Virtual Private Clouds (VPCs) et vos réseaux sur site à une passerelle unique. La passerelle de transit est l'épine dorsale du réseau qui gère le routage entre les réseaux de comptes AMS et les réseaux externes. Pour plus d'informations sur Transit Gateway, consultez [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
Fournissez les informations suivantes pour créer cette ressource :
+ *Numéro ASN de la passerelle de transit* \$1 : indiquez le numéro de système autonome (ASN) privé de votre passerelle de transit. Cela devrait être l’ASN pour le côté AWS d’une session Border Gateway Protocol (BGP). La plage est comprise entre 64512 et 65534 pour 16 bits. ASNs
# Compte Shared Services
Le compte Shared Services sert de hub central pour la plupart des services de plan de données AMS. Le compte contient l'infrastructure et les ressources nécessaires à la gestion des accès (AD), à la gestion de la sécurité des terminaux (Trend Micro), ainsi que les bastions des clients (SSH/RDP). Le graphique suivant présente un aperçu général des ressources contenues dans le compte Shared Services.
![\[Diagram of Shared Services Account architecture with VPC, subnets, and various Services AWS.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/malzSharedServicesAccount2.png)
Le VPC Shared Services est composé du sous-réseau AD, du sous-réseau EPS et du sous-réseau Customer Bastions dans les trois zones de disponibilité (). AZs Les ressources créées dans le VPC Shared Services sont répertoriées ci-dessous et nécessitent votre contribution.
+ *Plage d'adresses CIDR VPC Shared Services :* lorsque vous créez un VPC, vous devez spécifier une plage d'adresses IPv4 pour le VPC sous la forme d'un bloc de routage interdomaine sans classe (CIDR) ; par exemple, 10.0.1.0/24. Il s'agit du bloc CIDR principal pour votre VPC.
**Note**
L'équipe AMS recommande la plage de /23.
+ *Détails d'Active Directory* : Microsoft Active Directory (AD) est utilisé pour la user/resource gestion, l'authentification/l'autorisation et le DNS sur tous vos comptes de zone de landing zone multi-comptes AMS. AMS AD est également configuré avec une confiance unidirectionnelle à votre Active Directory pour une authentification basée sur la confiance. Les entrées suivantes sont requises pour créer l'AD :
+ Nom de domaine complet (FQDN) : nom de domaine complet pour le répertoire Microsoft AD géré par AWS. Le domaine ne doit pas être un domaine existant ou un domaine enfant d'un domaine existant de votre réseau.
+ Nom NetBIOS du domaine : si vous ne spécifiez pas de nom NetBIOS, AMS utilise par défaut le nom de la première partie du DNS de votre répertoire. Par exemple, corp pour le répertoire DNS corp.example.com.
+ *Trend Micro — Sécurité de la protection des terminaux (EPS)* : Trend Micro Endpoint Protection (EPS) est le principal composant d'AMS pour la sécurité du système d'exploitation. Le système comprend Deep Security Manager (DSM), des EC2 instances, des EC2 instances relais et un agent présent dans tous les plans de données et les EC2 instances du client.
Vous devez utiliser le `EPSMarketplaceSubscriptionRole` compte Shared Services et vous abonner soit à l'AMI Trend Micro Deep Security (BYOL), soit à Trend Micro Deep Security (Marketplace).
Les entrées par défaut suivantes sont requises pour créer un EPS (si vous souhaitez modifier les valeurs par défaut) :
+ Type d'instance de relais : valeur par défaut - m5.large
+ Type d'instance DSM : valeur par défaut : m5.xlarge
+ Taille de l'instance de base de données : valeur par défaut : 200 Go
+ Type d'instance RDS : valeur par défaut - db.m5.large
+ *Bastions du client* : vous disposez de bastions SSH ou RDP (ou les deux) dans le compte Shared Services, pour accéder à d'autres hôtes de votre environnement AMS. Afin d'accéder au réseau AMS en tant qu'utilisateur (SSH/RDP), you must use "customer" Bastions as the entry point. The network path originates from the on-premise network, goes through DX/VPNà la passerelle de transit (TGW), puis d'être acheminé vers le VPC Shared Services. Une fois que vous êtes en mesure d'accéder au bastion, vous pouvez accéder à d'autres hôtes dans l'environnement AMS, à condition que la demande d'accès ait été accordée.
+ Les entrées suivantes sont requises pour les bastions SSH.
+ Capacité d'instance souhaitée de SSH Bastion : valeur par défaut : 2.
+ Nombre maximal d'instances SSH Bastion : valeur par défaut : 4.
+ Instances minimales de SSH Bastion : valeur par défaut -2.
+ Type d'instance SSH Bastion : valeur par défaut : m5.large (peut être modifiée pour réduire les coûts, par exemple un t3.medium).
+ SSH Bastion Ingress CIDRs : plages d'adresses IP à partir desquelles les utilisateurs de votre réseau accèdent à SSH Bastions.
+ Les entrées suivantes sont requises pour les bastions Windows RDP.
+ Type d'instance RDP Bastion : valeur par défaut : t3.medium.
+ Sessions minimales souhaitées par RDP Bastion : valeur par défaut : 2.
+ Nombre maximal de sessions RDP : valeur par défaut -10.
+ Type de configuration RDP Bastion : vous pouvez choisir l'une des configurations ci-dessous
+ SecureStandard = Un utilisateur reçoit un bastion et un seul utilisateur peut se connecter au bastion.
+ SecureHA = Un utilisateur reçoit deux bastions dans deux AZ différentes auxquels il peut se connecter et un seul utilisateur peut se connecter au bastion.
+ SharedStandard = Un utilisateur reçoit un bastion auquel se connecter et deux utilisateurs peuvent se connecter au même bastion en même temps.
+ SharedHA = Un utilisateur reçoit deux bastions dans deux AZ différentes auxquels se connecter et deux utilisateurs peuvent se connecter au même bastion en même temps.
+ Entrée RDP du client CIDRs : plages d'adresses IP à partir desquelles les utilisateurs de votre réseau accèderont aux bastions RDP.
# Mises à jour des services partagés : zone d'accueil multi-comptes
AMS applique les versions des plans de données aux comptes gérés sur une base mensuelle, sans préavis.
AMS utilise l'unité d'organisation principale pour fournir des services partagés tels que l'accès, le réseau, l'EPS, le stockage des journaux, l'agrégation d'alertes dans votre zone d'accueil multicomptes. AMS est chargé de remédier aux vulnérabilités, d'appliquer des correctifs et de déployer ces services partagés. AMS met régulièrement à jour les ressources utilisées pour fournir ces services partagés afin que les utilisateurs aient accès aux dernières fonctionnalités et aux mises à jour de sécurité. Les mises à jour ont généralement lieu sur une base mensuelle. Les ressources incluses dans ces mises à jour sont les suivantes :
+ Comptes faisant partie de l'unité d'organisation principale.
Le compte de gestion, le compte de services partagés, le compte réseau, le compte de sécurité et le compte d'archivage des journaux contiennent des ressources pour les bastions RDP et SSH, les proxys, les hôtes de gestion et la sécurité des terminaux (EPS), qui sont généralement mises à jour tous les mois. AMS utilise des EC2 déploiements immuables dans le cadre de l'infrastructure de services partagés.
+ Nouvel AMS AMIs intégrant les dernières mises à jour.
**Note**
Les opérateurs AMS utilisent un type de modification de suppression d'alarme (CT) interne lorsqu'ils exécutent des modifications du plan de données et le RFC correspondant à ce CT apparaît dans votre liste de RFC. En effet, au fur et à mesure que la version du plan de données est déployée, diverses infrastructures peuvent être arrêtées, redémarrées, mises hors ligne, ou le déploiement peut entraîner des pics de processeur ou d'autres effets déclenchant des alarmes qui, lors du déploiement du plan de données, ne sont pas pertinentes. Une fois le déploiement terminé, le bon fonctionnement de toute l'infrastructure est vérifié et les alarmes sont réactivées.
# Compte Log Archive
Le compte Log Archive sert de plateforme centrale pour l'archivage des journaux dans votre environnement de zone de landing zone multi-comptes AMS. Le compte contient un compartiment S3 qui contient des copies des fichiers journaux AWS CloudTrail et AWS Config de chacun des comptes d'environnement de zone de landing zone multi-comptes AMS. Vous pouvez utiliser ce compte pour votre solution de journalisation centralisée avec AWS Firehose ou Splunk, etc. L'accès d'AMS à ce compte est limité à quelques utilisateurs ; réservé aux auditeurs et aux équipes de sécurité pour les enquêtes de conformité et d'investigation liées à l'activité du compte.
![\[Log Archive Account diagram showing Aggregated CloudTrail Logs and Aggregated Config Logs icons.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/malzLogAccount.png)
# Compte de sécurité
Le compte Security est le point central pour les opérations liées à la sécurité du logement et le principal point de transmission des notifications et des alertes vers les services du plan de contrôle AMS. En outre, le compte Security héberge le compte de gestion Amazon Guard Duty et l'agrégateur AWS Config.
![\[Security Account diagram showing GuardDuty Master, Simple Notification System, and Config Aggregator.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/malzSecurityAccount.png)
# Types de comptes d'applications
Les comptes d'application sont des comptes AWS intégrés à l'architecture de zone d'atterrissage gérée par AMS que vous utilisez pour héberger vos charges de travail. AMS propose trois types de comptes d'application :
+ [Comptes d'applications gérés par AMS](application-account-ams-managed.md)
+ [Comptes AMS Accelerate](malz-accelerate-account.md)
+ [Comptes d'applications gérés par le client](application-account-cust-man.md)
Les comptes d'applications sont regroupés différemment OUs dans AWS Organizations en fonction du type de compte d'application :
+ Root OU :
1. UO d'applications
+ UO gérée : comptes gérés par AMS
+ UO de développement : comptes gérés par AMS avec le mode développeur activé
1. Accélérer l'unité d'exploitation : AMS accélère les comptes d'applications
1. UO gérée par le client : comptes d'applications gérés par le client
Les comptes d'applications sont approvisionnés via un RFC soumis depuis le compte de gestion :
+ [Créer un compte d'application avec le VPC ct-1zdasmc2ewzrs](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-application-account-with-vpc.html)
+ Créer un compte Accelerate [ct-2p93tyd5angmi](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html)
+ [Créer un compte d'application géré par le client ct-3pwbixz27n3tn](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html)
# Comptes d'applications gérés par AMS
Les comptes d'applications entièrement gérés par AMS sont appelés comptes d'applications gérés par AMS, dans lesquels certaines ou toutes les tâches opérationnelles, telles que la gestion des demandes de service, la gestion des incidents, la gestion de la sécurité, la gestion de la continuité (sauvegarde), la gestion des correctifs, l'optimisation des coûts ou la surveillance et la gestion des événements de l'infrastructure, sont effectuées par AMS.
Le nombre de tâches effectuées par AMS dépend du mode de gestion des modifications que vous sélectionnez. Les comptes gérés par AMS prennent en charge différents modes de gestion du changement :
+ [Mode RFC](rfc-mode.md)
+ [Mode de changement direct dans AMS](direct-change-mode-section.md)
+ [AMS et AWS Service Catalog](ams-service-catalog-section.md)
+ [Mode développeur avancé AMS](developer-mode-section.md)
+ [Mode de provisionnement en libre-service dans AMS](self-service-provisioning-section.md)
Pour plus d'informations sur la gestion des modifications et les différents modes, consultez[Modes de gestion des modifications](using-change-management.md).
Certains services AWS peuvent être utilisés dans votre compte géré par AMS sans gestion AMS. La liste de ces services AWS et la procédure à suivre pour les ajouter à votre compte AMS sont décrites dans la section [Provisionnement en libre-service](https://docs.aws.amazon.com/managedservices/latest/userguide/self-service-provisioning-section.html).
# Comptes AMS Accelerate
AMS Accelerate est le plan d'exploitation AMS qui permet d'exploiter l'infrastructure AWS supportant les charges de travail. Vous pouvez bénéficier des services opérationnels d'AMS Accelerate tels que la surveillance et les alertes, la gestion des incidents, la gestion de la sécurité et la gestion des sauvegardes, sans avoir à effectuer une nouvelle migration, à subir des interruptions de service ou à modifier la façon dont vous utilisez AWS. AMS Accelerate propose également un module complémentaire de correctif en option pour les charges de travail EC2 basées qui nécessitent des correctifs réguliers.
Avec AMS Accelerate, vous avez la liberté d'utiliser, de configurer et de déployer tous les services AWS de manière native ou avec vos outils préférés. Vous utiliserez vos mécanismes d'accès et de changement préférés, tandis qu'AMS applique constamment des pratiques éprouvées qui permettent de développer votre équipe, d'optimiser les coûts, d'accroître la sécurité et l'efficacité et d'améliorer la résilience.
**Note**
Les comptes AMS Accelerate dans AMS Advanced ne disposent pas de la gestion des modifications AMS (RFCs) ou de la console AMS Advanced. Ils disposent plutôt de la console et de la fonctionnalité AMS Accelerate.
Les comptes Accelerate ne peuvent être approvisionnés qu'à partir de votre compte AMS multi-comptes landing zone Management. Accelerate propose différentes fonctionnalités opérationnelles. Pour en savoir plus, consultez la [description du service Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html).
+ Vous continuerez à profiter de certaines fonctionnalités des comptes principaux de la zone d'atterrissage multi-comptes (MALZ), telles que la journalisation centralisée, la facturation unique, l'agrégateur de configuration dans le compte de sécurité et. SCPs
+ AMS Accelerate ne fournit pas certains services AMS Advanced tels que l'EPS, la gestion des accès, la gestion des modifications et le provisionnement. Nous vous recommandons de suivre les étapes suivantes pour accéder à la passerelle de transit (TGW) et la configurer.
Pour plus de détails sur Accelerate, voir [Qu'est-ce qu'Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/what-is-acc.html) ?
## Création de votre compte Accelerate
Pour créer un compte Accelerate, suivez les étapes décrites ici [Créer un compte Accelerate](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html#deployment-managed-management-account-create-accelerate-account-info).
## Accès à votre compte Accelerate
Une fois que vous avez créé un compte Accelerate sur votre compte de zone de landing zone multi-comptes (MALZ), un rôle avec des autorisations [d'accès administratives](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator) est `AccelerateDefaultAdminRole` inscrit dans le compte et vous pouvez l'assumer.
Pour accéder au nouveau compte Accelerate :
1. Connectez-vous à la console IAM pour le compte de gestion doté du `CustomerDefaultAssumeRole` rôle.
1. Dans la console IAM, dans la barre de navigation, choisissez votre nom d'utilisateur.
1. Choisissez **Changer de rôle**. Si vous choisissez cette option pour la première fois, une page contenant plus d'informations s'affiche. Après l'avoir lue, choisissez **Switch Role (Changer de rôle)**. Si vous désactivez les cookies de votre navigateur, cette page peut s'afficher de nouveau.
1. Sur la page **Switch Role**, tapez l'ID du compte Accelerate et le nom du rôle à assumer :`AccelerateDefaultAdminRole`.
Maintenant que vous y avez accès, vous pouvez créer de nouveaux rôles IAM pour continuer à accéder à votre environnement. Si vous souhaitez tirer parti de la fédération SAML pour votre compte Accelerate, consultez la section [Permettre aux utilisateurs fédérés SAML 2.0 d'accéder à la console de gestion AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html).
## Connexion de votre compte Accelerate à Transit Gateway
AMS ne gère pas la configuration réseau d'un compte Accelerate. Vous avez la possibilité de gérer votre propre réseau à l'aide d'AWS APIs (voir [Networking Solutions](https://aws.amazon.com/solutionspace/networking/)) ou de vous connecter au réseau MALZ géré par AMS, en utilisant le Transit Gateway (TGW) existant déployé dans AMS MALZ.
**Note**
Vous ne pouvez associer un VPC au TGW que si le compte Accelerate se trouve dans la même région AWS. Pour plus d'informations, consultez la section [Passerelles de transport en commun.](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)
Pour ajouter votre compte Accelerate à Transit Gateway, demandez un nouvel itinéraire en utilisant le type de changement [Deployment \$1 Managed landing zone \$1 Networking account \$1 Add static route](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59), en incluant les informations suivantes :
+ **Blackhole** : True pour indiquer que la cible de l'itinéraire n'est pas disponible. Procédez ainsi lorsque le trafic de l'itinéraire statique doit être supprimé par le Transit Gateway. False pour acheminer le trafic vers l'ID de pièce jointe TGW spécifié. La valeur par défaut est false.
+ **DestinationCidrBlock**: plage d' IPV4 adresses CIDR utilisée pour les correspondances de destination. Les décisions de routage sont basées sur la correspondance la plus spécifique. Exemple : 10.0.2.0/24.
+ **TransitGatewayAttachmentId**: ID de pièce jointe TGW qui servira de cible à la table de routage. Si **Blackhole** est faux, ce paramètre est obligatoire, sinon laissez ce paramètre vide. Exemple : tgw-attach-04eb40d1e14ec7272.
+ **TransitGatewayRouteTableId**: ID de la table de routage TGW. Exemple : tgw-rtb-06ddc751c0c0c881c.
Créez des itinéraires dans les tables de routage TGW pour vous connecter à ce VPC :
1. Par défaut, ce VPC ne pourra communiquer avec aucun autre VPCs VPC de votre réseau MALZ.
1. Décidez avec votre architecte de solutions avec quoi VPCs vous souhaitez que ce VPC Accelerate communique.
1. Soumettre un [déploiement \$1 Zone d'atterrissage gérée \$1 Compte réseau \$1 Ajouter un type de changement de route statique](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59), incluez les informations suivantes :
+ **Blackhole** : True pour indiquer que la cible de l'itinéraire n'est pas disponible. Procédez ainsi lorsque le trafic de l'itinéraire statique doit être supprimé par le Transit Gateway. False pour acheminer le trafic vers l'ID de pièce jointe TGW spécifié. La valeur par défaut est false.
+ **DestinationCidrBlock**: plage d' IPV4 adresses CIDR utilisée pour les correspondances de destination. Les décisions de routage sont basées sur la correspondance la plus spécifique. Exemple : 10.0.2.0/24.
+ **TransitGatewayAttachmentId**: ID de pièce jointe TGW qui servira de cible à la table de routage. Si **Blackhole** est faux, ce paramètre est obligatoire, sinon laissez ce paramètre vide. Exemple : tgw-attach-04eb40d1e14ec7272.
+ **TransitGatewayRouteTableId**: ID de la table de routage TGW. Exemple : tgw-rtb-06ddc751c0c0c881c.
**Connexion d'un nouveau compte Accelerate VPC au réseau AMS Multi-Account Landing Zone (création d'une pièce jointe VPC TGW**) :
1. Dans votre compte réseau de zone de landing zone multi-comptes, ouvrez la console [Amazon VPC](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Passerelles de transit**. Enregistrez l'ID TGW de la passerelle de transit que vous voyez.
1. Dans votre compte Accelerate, ouvrez la [console Amazon VPC.](https://console.aws.amazon.com/vpc/)
1. Dans le volet de navigation, choisissez **Transit Gateway Attachments** > **Create Transit Gateway Attachment**. Faites les choix suivants :
+ Pour le **Transit Gateway ID**, choisissez l'ID de passerelle de transit que vous avez enregistré à l'étape 2.
+ Pour **Attachment type** (Type d'attachement), choisissez **VPC**.
+ Sous **Attachement de VPC**, saisissez un nom pour la **Balise de nom d’attachement** (facultatif).
+ Choisissez d'activer ou non **le **IPv6 support** DNS**.
+ Pour **VPC ID (ID de VPC)**, choisissez le VPC à attacher à la passerelle de transit. Ce VPC doit avoir au moins un sous-réseau associé.
+ Pour **Sous-réseau IDs**, sélectionnez un sous-réseau pour chaque zone de disponibilité à utiliser par la passerelle de transit pour acheminer le trafic. Vous devez sélectionner au moins un sous-réseau. Vous pouvez sélectionner un seul sous-réseau par zone de disponibilité.
1. Choisissez **Créer un attachement**. Enregistrez l'ID de la pièce jointe TGW nouvellement créée.
**Associer la pièce jointe TGW à une table de routage** :
1. Décidez à quelle table de routage TGW vous souhaitez associer le VPC. Nous vous recommandons de créer une nouvelle table de routage d'application pour le compte Accelerate VPCs en utilisant le type de changement Deployment \$1 Managed landing zone \$1 Networking account \$1 Create transit gateway route table (ct-3dscwaeyi6cup).
1. Soumettez une RFC [de gestion \$1 Zone d'atterrissage gérée \$1 Compte réseau \$1 Associer une pièce jointe TGW](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-networking-account-associate-tgw-attachment.html) (ct-3nmhh0qr338q6) sur le compte réseau pour associer la pièce jointe VPC ou TGW à la table de routage que vous sélectionnez.
**Créez des itinéraires dans les tables de routage TGW pour vous connecter à ce VPC** :
1. Par défaut, ce VPC ne pourra communiquer avec aucun autre VPC de votre réseau de zone VPCs d'atterrissage multi-comptes.
1. Décidez avec votre architecte de solutions avec quoi VPCs vous souhaitez que ce VPC de compte Accelerate communique.
1. Soumettez une RFC de [déploiement \$1 Zone d'atterrissage gérée \$1 Compte réseau \$1 Ajoutez une route statique](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) au compte réseau pour créer les itinéraires TGW dont vous avez besoin.
**Configuration de vos tables de routage VPC pour qu'elles pointent vers la passerelle de transit multi-comptes AMS pour la zone d'atterrissage** :
1. Décidez avec votre architecte de solutions quel trafic vous souhaitez envoyer vers la passerelle de transit AMS Multi-Account Landing Zone.
1. Soumettez une RFC de [déploiement \$1 Zone d'atterrissage gérée \$1 Compte réseau \$1 Ajoutez une route statique](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) au compte réseau pour créer les itinéraires TGW dont vous avez besoin.
# Comptes d'applications gérés par le client
Vous pouvez créer des comptes qu'AMS ne gère pas de manière standard. Ces comptes sont appelés comptes gérés par le client et vous permettent de contrôler totalement l'infrastructure au sein des comptes tout en profitant des avantages de l'architecture centralisée gérée par AMS.
Les comptes gérés par le client n'ont pas accès à la console AMS ni à aucun des services que nous fournissons (correctif, sauvegarde, etc.).
Les comptes gérés par le client ne peuvent être approvisionnés qu'à partir de votre compte de gestion de zone d'atterrissage multi-comptes AMS.
Les différents modes AMS fonctionnent différemment avec les comptes d'application ; pour en savoir plus sur les modes, consultez les [modes AWS Managed Services](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/ams-modes.html).
Pour créer votre compte d'application géré par le client, voir Compte [de gestion \$1 Créer un compte d'application géré par le client](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html).
Pour supprimer un compte d'application géré par le client, utilisez [Compte de gestion \$1 Compte d'application externe](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html). (Le CT de [confirmation de l'offboarding](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-application-account-confirm-offboarding.html) ne s'applique pas aux comptes d'applications gérés par le client.)
# Accès à votre compte géré par le client
Une fois que vous avez créé un compte géré par le client (CMA) dans une zone de landing zone multi-comptes, un rôle d'administrateur (MALZ) est `CustomerDefaultAdminRole` intégré au compte et vous pouvez assumer, par le biais de la fédération SAML, pour configurer le compte.
Pour accéder au CMA :
1. Connectez-vous à la console IAM pour le compte de gestion doté du **CustomerDefaultAssumeRole**rôle.
1. Dans la console IAM, dans la barre de navigation, choisissez votre nom d'utilisateur.
1. Choisissez **Changer de rôle**. Si vous choisissez cette option pour la première fois, une page contenant plus d'informations s'affiche. Après l'avoir lue, choisissez **Switch Role (Changer de rôle)**. Si vous désactivez les cookies de votre navigateur, cette page peut s'afficher de nouveau.
1. Sur la page **Changer de rôle**, tapez l'ID du compte géré par le client et le nom du rôle à assumer : **CustomerDefaultAdminRole**.
Maintenant que vous y avez accès, vous pouvez créer de nouveaux rôles IAM pour continuer à accéder à votre environnement. Si vous souhaitez tirer parti de la fédération SAML pour votre compte CMA, consultez la section [Permettre aux utilisateurs fédérés SAML 2.0 d'accéder à la console de gestion AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html).
# Connecter votre CMA à Transit Gateway
AMS ne gère pas la configuration réseau des comptes gérés par le client (CMAs). Vous avez la possibilité de gérer votre propre réseau à l'aide d'AWS APIs (voir [Networking Solutions](https://aws.amazon.com/solutionspace/networking/)) ou de vous connecter au réseau de zones d'atterrissage multi-comptes géré par AMS, en utilisant le Transit Gateway (TGW) existant déployé dans AMS MALZ.
**Note**
Un VPC ne peut être rattaché au TGW que si le CMA se trouve dans la même région AWS. Pour plus d'informations, consultez la section [Passerelles de transport en commun.](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)
Pour ajouter votre CMA à Transit Gateway, demandez un nouvel itinéraire avec le type de changement de [compte Networking \$1 Add static route (ct-3r2ckznmt0a59](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html)) et incluez les informations suivantes :
+ **Blackhole** : True pour indiquer que la cible de l'itinéraire n'est pas disponible. Procédez ainsi lorsque le trafic de l'itinéraire statique doit être supprimé par le Transit Gateway. False pour acheminer le trafic vers l'ID de pièce jointe TGW spécifié. La valeur par défaut est false.
+ **DestinationCidrBlock**: plage IPV4 CIDR utilisée pour les correspondances de destination. Les décisions de routage sont basées sur la correspondance la plus spécifique. Exemple : `10.0.2.0/24`.
+ **TransitGatewayAttachmentId**: ID de pièce jointe TGW qui servira de cible à la table de routage. Si **Blackhole** est faux, ce paramètre est obligatoire, sinon laissez ce paramètre vide. Exemple : `tgw-attach-04eb40d1e14ec7272`.
+ **TransitGatewayRouteTableId**: ID de la table de routage TGW. Exemple : `tgw-rtb-06ddc751c0c0c881c`.
**Connexion d'un nouveau VPC géré par le client au réseau AMS Multi-Account Landing Zone (création d'une pièce jointe VPC TGW**) :
1. Dans votre compte réseau de zone de landing zone multi-comptes, ouvrez la console [Amazon VPC](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Transit Gateways**. Enregistrez l'ID TGW de la passerelle de transit que vous voyez.
1. Dans votre compte géré par le client, ouvrez la [console Amazon VPC.](https://console.aws.amazon.com/vpc/)
1. Dans le volet de navigation, choisissez **Transit Gateway Attachments** > **Create Transit Gateway Attachment**. Faites les choix suivants :
1. Pour le **Transit Gateway ID**, choisissez l'ID de passerelle de transit que vous avez enregistré à l'étape 2.
1. Pour **Attachment type** (Type d'attachement), choisissez **VPC**.
1. Sous **Attachement de VPC**, saisissez un nom pour la **Balise de nom d’attachement** (facultatif).
1. Choisissez d'activer ou non **le **IPv6 support** DNS**.
1. Pour **VPC ID (ID de VPC)**, choisissez le VPC à attacher à la passerelle de transit. Ce VPC doit avoir au moins un sous-réseau associé.
1. Pour **Sous-réseau IDs**, sélectionnez un sous-réseau pour chaque zone de disponibilité à utiliser par la passerelle de transit pour acheminer le trafic. Vous devez sélectionner au moins un sous-réseau. Vous pouvez sélectionner un seul sous-réseau par zone de disponibilité.
1. Choisissez **Créer un attachement**. Enregistrez l'ID de la pièce jointe TGW nouvellement créée.
**Associer la pièce jointe TGW à une table de routage** :
Décidez à quelle table de routage TGW vous souhaitez associer le VPC. Nous vous recommandons de créer une nouvelle table de routage d'applications pour Customer Managed VPCs en soumettant une RFC de déploiement \$1 Zone d'atterrissage gérée \$1 Compte réseau \$1 Création d'une table de routage de passerelle de transit (ct-3dscwaeyi6cup). Pour associer la pièce jointe VPC ou TGW à la table de routage que vous sélectionnez, soumettez une RFC Déploiement \$1 Zone d'atterrissage gérée \$1 Compte réseau \$1 Pièce jointe TGW associée (ct-3nmhh0qr338q6) sur le compte réseau.
**Créez des itinéraires dans les tables de routage TGW pour vous connecter à ce VPC** :
1. Par défaut, ce VPC ne pourra communiquer avec aucun autre VPCs VPC de votre réseau Multi-Account Landing Zone.
1. Décidez avec votre architecte de solutions avec quoi VPCs vous souhaitez que ce VPC géré par le client communique. Soumettez une RFC de déploiement \$1 Zone d'atterrissage gérée \$1 Compte réseau \$1 Ajoutez une route statique (ct-3r2ckznmt0a59) au compte réseau pour créer les itinéraires TGW dont vous avez besoin.
**Note**
Ce CT (ct-3r2ckznmt0a59) n'autorise pas l'ajout de routes statiques à la table de routage principale EgressRouteDomain ; si votre CMA doit autoriser le trafic de sortie, soumettez une RFC de gestion \$1 Autre \$1 Autre (MOO) avec ct-0xdawir96cy7k.
**Configuration de vos tables de routage VPC pour qu'elles pointent vers la passerelle de transit AMS Multi-Account Landing Zone** :
Décidez avec votre architecte de solutions quel trafic vous souhaitez envoyer vers la passerelle de transit AMS Multi-Account Landing Zone. Mettez à jour vos tables de routage VPC pour envoyer le trafic vers la pièce jointe TGW créée précédemment
# Obtenir de l'aide opérationnelle avec vos comptes gérés par le client
AMS peut vous aider à gérer les charges de travail que vous avez déployées dans vos comptes gérés par le client en intégrant le compte à AMS Accelerate. Avec AMS Accelerate, vous pouvez bénéficier de services opérationnels tels que la surveillance et les alertes, la gestion des incidents, la gestion de la sécurité et la gestion des sauvegardes, sans avoir à effectuer une nouvelle migration, à subir des interruptions de service ou à modifier votre mode d'utilisation AWS. AMS Accelerate propose également un module complémentaire de correctif en option pour les charges de travail EC2 basées qui nécessitent des correctifs réguliers. Avec AMS Accelerate, vous continuez à utiliser, configurer et déployer tous les AWS services de manière native ou avec vos outils préférés, comme vous le faites avec les comptes gérés par les clients AMS Advanced. Vous utilisez vos mécanismes d'accès et de changement préférés, tandis qu'AMS applique des pratiques éprouvées qui permettent de faire évoluer votre équipe, d'optimiser les coûts, d'accroître la sécurité et l'efficacité et d'améliorer la résilience. Pour en savoir plus, consultez la [description du service Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html).
Pour intégrer votre compte géré par le client à Accelerate, contactez votre CSDM et suivez les étapes décrites dans [Getting Started with AMS](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/getting-started-acc.html) Accelerate.
**Note**
Les comptes AMS Accelerate dans AMS Advanced ne disposent pas de la gestion des modifications AMS (demandes de modification ou RFCs) ni de la console AMS Advanced. Ils disposent plutôt de la console et de la fonctionnalité AMS Accelerate.
# Compte AMS Tools (migration des charges de travail)
Votre compte Multi-Account Landing Zone Tools (avec VPC) permet d'accélérer les efforts de migration, d'améliorer votre position en matière de sécurité, de réduire les coûts et la complexité et de normaliser votre modèle d'utilisation.
Un compte d'outils fournit les éléments suivants :
+ Une limite bien définie pour l'accès aux instances de réplication pour les intégrateurs de systèmes en dehors de vos charges de travail de production.
+ Vous permet de créer une chambre isolée pour vérifier la présence de logiciels malveillants ou de routes réseau inconnues dans une charge de travail avant de la placer dans un compte associé à d'autres charges de travail.
+ En tant que configuration de compte définie, elle permet d'accélérer l'intégration et la configuration pour la migration des charges de travail.
+ Routes réseau isolées pour sécuriser le trafic depuis un compte sur site CloudEndure -> -> Outils -> Image ingérée AMS. Une fois qu'une image a été ingérée, vous pouvez la partager sur le compte de destination via une RFC AMS Management \$1 Advanced stack components \$1 AMI \$1 Share (ct-1eiczxw8ihc18).
Schéma d'architecture de haut niveau :
![\[Compte AWS structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/high-level-diagram_v1.png)
Utilisez le type de changement de type Déploiement \$1 Zone d'atterrissage gérée \$1 Compte de gestion \$1 Créer un compte d'outils (avec VPC) (ct-2j7q1hgf26x5c) pour déployer rapidement un compte d'outils et instancier un processus d'ingestion de charge de travail dans un environnement de zone d'atterrissage multicompte. Voir [Compte de gestion, compte Outils : création (avec VPC](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-malz-master-acct-create-tools-acct-col.html)).
**Note**
Nous recommandons d'avoir deux zones de disponibilité (AZs), car il s'agit d'un hub de migration.
Par défaut, AMS crée les deux groupes de sécurité suivants (SGs) dans chaque compte. Confirmez que ces deux SGs éléments sont présents. S'ils ne sont pas présents, veuillez ouvrir une nouvelle demande de service auprès de l'équipe AMS pour en faire la demande.
SentinelDefaultSecurityGroupPrivateOnlyEgressAll
InitialGarden-SentinelDefaultSecurityGroupPrivateOnly
Assurez-vous que les instances de CloudEndure réplication sont créées dans le sous-réseau privé où se trouvent des itinéraires permettant de revenir sur site. Vous pouvez le confirmer en vous assurant que les tables de routage du sous-réseau privé disposent d'une route par défaut vers TGW. Cependant, l'exécution d'une coupure de CloudEndure machine doit se faire dans le sous-réseau privé « isolé » où il n'y a pas de route de retour vers le réseau local, seul le trafic sortant d'Internet est autorisé. Il est essentiel de s'assurer que le transfert a lieu dans le sous-réseau isolé afin d'éviter d'éventuels problèmes avec les ressources sur site.
Prérequis :
1. Niveau de support **Plus** ou **Premium**.
1. Le compte d'application IDs pour la clé KMS sur laquelle AMIs ils sont déployés.
1. Le compte d'outils, créé comme décrit précédemment.
# AWS Service de migration d'applications (AWS MGN)
[AWS Le service de migration d'applications](https://aws.amazon.com/application-migration-service/) (AWS MGN) peut être utilisé dans votre compte MALZ Tools via le rôle `AWSManagedServicesMigrationRole` IAM créé automatiquement lors du provisionnement du compte Tools. Vous pouvez utiliser AWS MGN pour migrer des applications et des bases de données qui s'exécutent sur des versions prises en charge des [systèmes d'exploitation](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html) Windows et Linux.
Pour plus d' up-to-dateinformations sur le Région AWS support, consultez [la liste des services AWS régionaux](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Si votre système préféré n' Région AWS est pas actuellement pris en charge par AWS MGN, ou si le système d'exploitation sur lequel vos applications s'exécutent n'est pas actuellement pris en charge par AWS MGN, envisagez plutôt d'utiliser la [CloudEndure migration](https://console.cloudendure.com/#/register/register) dans votre compte Tools.
**Demande d' AWS initialisation de MGN**
AWS MGN doit être [initialisé](https://docs.aws.amazon.com/mgn/latest/ug/mandatory-setup.html) par AMS avant la première utilisation. Pour en faire la demande pour un nouveau compte Tools, soumettez une RFC Management \$1 Other \$1 Other depuis le compte Tools avec les informations suivantes :
```
RFC Subject=Please initialize AWS MGN in this account
RFC Comment=Please click 'Get started' on the MGN welcome page here:
[ https://console.aws.amazon.com/mgn/home?region=*MALZ\$1PRIMARY\$1REGION*\$1/welcome](https://console.aws.amazon.com/mgn/home?region=AP-SOUTHEAST-2#/welcome) using all default values
to 'Create template' and complete the initialization process.
```
Une fois qu'AMS a terminé avec succès le RFC et initialisé AWS MGN dans votre compte Tools, vous pouvez l'utiliser `AWSManagedServicesMigrationRole` pour modifier le modèle par défaut en fonction de vos besoins.
![\[AWS MGN, service de migration d'applications d'installation.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/aws_mgn_firstrun.png)
# Activer l'accès au nouveau compte AMS Tools
Une fois le compte Tools créé, AMS vous fournit un identifiant de compte. L'étape suivante consiste à configurer l'accès au nouveau compte. Procédez comme suit :
1. Mettez à jour les groupes Active Directory appropriés vers le compte approprié IDs.
Les nouveaux comptes créés par AMS sont dotés de la politique de ReadOnly rôle ainsi que d'un rôle permettant aux utilisateurs de déposer des dossiers. RFCs
Le compte Tools dispose également d'un rôle et d'un utilisateur IAM supplémentaires :
+ Rôle IAM : `AWSManagedServicesMigrationRole`
+ Utilisateur IAM : `customer_cloud_endure_user`
1. Demandez des politiques et des rôles pour permettre aux membres de l'équipe d'intégration des services de configurer le niveau d'outils suivant.
Accédez à la console AMS et enregistrez les fichiers suivants RFCs :
1. Créez une clé KMS. Utilisez [Create KMS Key (auto)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-auto-col.html) ou [Create KMS Key (révision requise)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-rr-col.html).
Lorsque vous utilisez KMS pour chiffrer les ressources ingérées, l'utilisation d'une clé KMS unique partagée avec les autres comptes de l'application Multi-Account Landing Zone permet de sécuriser les images ingérées afin qu'elles puissent être déchiffrées dans le compte de destination.
1. Partagez la clé KMS.
Utilisez le type de modification Management \$1 Advanced stack components \$1 KMS key \$1 Share (révision requise) (ct-05yb337abq3x5) pour demander que la nouvelle clé KMS soit partagée avec les comptes de votre application où résidera la clé ingérée. AMIs
Exemple graphique de la configuration finale d'un compte :
![\[AWS architecture diagram showing Migration VPC, IAM, and Permissions with various components and connections.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/WIGS_Account_ExpandedV1.png)
# Exemple de politique CloudEndure IAM pré-approuvée par AMS
Pour consulter une CloudEndure politique IAM préapprouvée par AMS : décompressez le fichier d'[exemple de zone d'atterrissage WIGS Cloud Endure](samples/wigs-ce-lz-examples.zip) et ouvrez le. `customer_cloud_endure_policy.json`
# Test de la connectivité et de la end-to-end configuration du compte AMS Tools
1. Commencez par configurer CloudEndure et installer l' CloudEndure agent sur un serveur qui sera répliqué sur AMS.
1. Créez un projet dans CloudEndure.
1. Entrez les AWS informations d'identification partagées lorsque vous avez effectué les prérequis, via le gestionnaire de secrets.
1. Dans les **paramètres de réplication** :
1. Sélectionnez les deux groupes de sécurité AMS « Sentinel » (privé uniquement EgressAll) pour l'option **Choisissez les groupes de sécurité à appliquer aux serveurs de réplication**.
1. Définissez les options de transfert pour les machines (instances). Pour plus d'informations, reportez-vous [à l'étape 5. Découper](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-factory-cloudendure/step5.html)
1. **Sous-réseau** : sous-réseau privé.
1. **Groupe de sécurité** :
1. Sélectionnez les deux groupes de sécurité AMS « Sentinel » (privé uniquement et EgressAll).
1. Les instances de transition doivent communiquer avec l'Active Directory (MAD) géré par AMS et avec les points de terminaison publics : AWS
1. **IP élastique** : aucune
1. **IP publique** : non
1. **Rôle IAM** : customer-mc-ec profil à 2 instances
1. Définissez les balises conformément à votre convention de balisage interne.
1. Installez l' CloudEndure agent sur la machine et recherchez l'instance de réplication qui apparaîtra dans votre compte AMS dans la EC2 console.
Le processus d'ingestion d'AMS :
![\[Flowchart showing AMS ingestion process steps from customer instance to application deployment.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/Ingestion_Process_v1.png)
# Hygiène des comptes AMS Tools
Vous devrez procéder au nettoyage une fois que vous aurez terminé de partager l'AMI dans le compte et que vous n'aurez plus besoin des instances répliquées :
+ Après l' WIGs ingestion de l'instance :
+ Instance de transition : au minimum, arrêtez ou mettez fin à cette instance, une fois le travail terminé, via la console AWS
+ Sauvegardes d'AMI avant ingestion : supprimez une fois que l'instance a été ingérée et que l'instance sur site a été arrêtée
+ Instances ingérées par AMS : désactivez la pile ou mettez-la hors service une fois que l'AMI a été partagée
+ AMS-ingested AMIs : Supprimer une fois le partage avec le compte de destination terminé
+ Nettoyage de fin de migration : documentez les ressources déployées via le mode développeur pour vous assurer que le nettoyage a lieu régulièrement, par exemple :
+ Groupes de sécurité
+ Ressources créées via Cloud-formation
+ Réseau ACK
+ Sous-réseau
+ VPC
+ Table de routage
+ Rôles
+ Utilisateurs et comptes
# Migration à grande échelle - Migration Factory
Voir [Présentation de la solution AWS CloudEndure Migration Factory](https://aws.amazon.com/about-aws/whats-new/2020/06/introducing-aws-cloudendure-migration-factory-solution/).