Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Langkah 2. Sumber daya manajemen orientasi di Accelerate
<a name="acc-get-mgmt-resource-onboard"></a>

Ini adalah ikhtisar dari proses sumber daya manajemen orientasi.

**Anda menerima persyaratan**

Manajer pengiriman layanan cloud (CSDM) memandu Anda melalui proses penerimaan. Anda harus menerima Syarat dan Ketentuan, pilih Wilayah AWS, add-on, dan Perjanjian Tingkat Layanan (SLA).

**Anda memberikan izin untuk peran AMS**

Anda perlu memberikan akses ke proses AMS dan ke Cloud Architect Anda. Anda melakukan ini dengan membuat CloudFormation tumpukan untuk setiap peran. Lihat [Template untuk membuat peran AMS](acc-onb-roles.md) dan kemudian[Buat `aws_managedservices_onboarding_role` dengan CloudFormation untuk Mempercepat](acc-onb-create-roles-with-cf.md). Untuk lebih jelasnya lihat[Manajemen akses di AMS Accelerate](acc-access.md).

**AMS meninjau konfigurasi Anda**

Cloud Architect (CA) Anda juga mencari kemungkinan masalah konfigurasi di akun Anda, seperti Kebijakan Kontrol Layanan (SCPs), dan temuan keamanan yang mungkin mencegah AMS menerapkan alat dan sumber daya yang diperlukan oleh AMS. CA bekerja sama dengan Anda untuk membantu memulihkan temuan dan menghapus pemblokir apa pun untuk penerapan alat dan sumber daya AMS. 

**AMS meninjau konfigurasi AWS CloudTrail jejak Anda**

 Cloud Architect (CA) Anda akan meninjau konfigurasi CloudTrail jejak Anda, dan mengonfirmasi apakah Anda ingin AMS menerapkan CloudTrail jejak global, atau mengintegrasikan Accelerate dengan CloudTrail akun atau sumber daya jejak Organisasi Anda. Jika Anda memilih untuk mengintegrasikan Accelerate dengan CloudTrail jejak Anda, CA Anda akan memandu Anda melalui pembaruan yang diperlukan pada konfigurasi untuk sumber daya CloudTrail jejak Anda.

**AMS menyebarkan sumber daya manajemen**

Tim AMS menyebarkan alat dan AWS sumber daya untuk menyediakan berbagai layanan AMS Accelerate. Setelah selesai, AMS telah membuat akun AWS Managed Services dan AMS memberi tahu Anda bahwa akun Anda aktif.

Ini menyimpulkan tahap *sumber daya manajemen Orientasi*. Anda dapat melanjutkan langsung ke langkah selanjutnya dari proses orientasi:[Langkah 3. Fitur AMS orientasi dengan kebijakan default](acc-get-feature-config.md).

**catatan**  
 Sekarang akun Anda aktif, Anda memiliki opsi untuk melakukan salah satu tugas ini:   
Buat insiden dan permintaan layanan untuk AWS infrastruktur menggunakan Support Center Console. Lihat [Laporan insiden, permintaan layanan, dan pertanyaan penagihan di AMS Accelerate](acc-supp-ex.md).
Lihat status kesesuaian di akun Anda tentang AWS Config Aturan yang digunakan oleh AMS,. [Kepatuhan konfigurasi di Accelerate](acc-sec-compliance.md)
Temukan dan analisis GuardDuty dan temuan Macie (opsional). Lihat [Monitor dengan GuardDuty](acc-sec-data-protect.md#acc-sec-data-protect-gd).
Akses dan audit CloudTrail log
Lacak perubahan di akun AMS Accelerate Anda. Lihat [Melacak perubahan di akun AMS Accelerate](acc-change-record.md).
Gunakan Resource Tagger untuk membuat tag. Lihat [Mempercepat Tagger Sumber Daya](acc-resource-tagger.md).
Minta Patch, Backup, dan AWS Config Laporan. Lihat [Laporan dan opsi](ams-reporting.md).

# Tinjau dan perbarui konfigurasi agar AMS Accelerate dapat menggunakan jejak Anda CloudTrail
<a name="acc-onb-trail-choices"></a>

AMS Accelerate bergantung pada AWS CloudTrail pencatatan untuk mengelola audit dan kepatuhan untuk semua sumber daya di akun Anda. Selama orientasi, Anda memilih apakah Accelerate menyebarkan CloudTrail jejak di AWS Wilayah utama atau menggunakan peristiwa yang dihasilkan oleh CloudTrail akun atau jejak Organisasi yang ada. Jika akun Anda tidak memiliki jejak yang dikonfigurasi, Accelerate akan menerapkan CloudTrail jejak terkelola selama orientasi.

**penting**  
CloudTrail Konfigurasi manajemen log hanya diperlukan ketika Anda memilih untuk mengintegrasikan AMS Accelerate dengan CloudTrail akun atau jejak Organisasi Anda.

## Tinjau konfigurasi CloudTrail jejak Anda, kebijakan bucket Amazon S3, AWS KMS dan kebijakan utama untuk tujuan pengiriman acara CloudTrail Anda dengan Cloud Architect (CA) Anda
<a name="acc-onb-trail-configuration-process"></a>

Sebelum Accelerate dapat menggunakan CloudTrail jejak Anda, Anda harus bekerja dengan Cloud Architect (CA) Anda untuk meninjau dan memperbarui konfigurasi Anda untuk memenuhi persyaratan Accelerate. Jika Anda memilih untuk mengintegrasikan Accelerate dengan jejak CloudTrail Organisasi, CA akan bekerja sama dengan Anda untuk memperbarui bucket Amazon S3 tujuan pengiriman CloudTrail acara dan kebijakan AWS KMS utama untuk mengaktifkan kueri lintas akun dari akun Accelerate Anda. Bucket Amazon S3 Anda dapat berada di akun yang dikelola oleh Accelerate, atau akun yang Anda kelola. Selama orientasi, Accelerate memvalidasi bahwa kueri dapat dibuat ke tujuan pengiriman acara jejak CloudTrail Organisasi Anda, dan menjeda orientasi jika kueri gagal. Anda bekerja dengan CA Anda untuk memperbaiki konfigurasi ini sehingga orientasi dapat dilanjutkan.

### Tinjau dan perbarui CloudTrail akun Anda atau konfigurasi jejak Organisasi
<a name="acc-onb-trail-choices-trail-requirements"></a>

Konfigurasi berikut diperlukan untuk mengintegrasikan Mempercepat pengelolaan CloudTrail log CloudTrail akun atau sumber daya jejak Organisasi Anda:
+  CloudTrail Jejak Anda dikonfigurasi untuk mencatat peristiwa dari semua Wilayah AWS.
+  CloudTrail Jejak Anda mengaktifkan [acara layanan global](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html#cloudtrail-concepts-global-service-events). 
+  CloudTrail Akun atau jejak Organisasi Anda mencatat semua [peristiwa manajemen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events), termasuk [peristiwa baca dan tulis](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#read-write-events-mgmt), AWS KMS dan pencatatan peristiwa Amazon RDS Data API diaktifkan.
+  CloudTrail Jejak Anda mengaktifkan [validasi integritas file log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html).
+  [https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)
+ Bucket Amazon S3 yang dikirimkan oleh CloudTrail jejak Anda untuk mengaktifkan pencatatan [akses server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html).
+ Bucket Amazon S3 yang akan dikirimkan oleh CloudTrail jejak Anda memiliki [konfigurasi siklus hidup](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) yang menyimpan data CloudTrail jejak Anda setidaknya selama 18 bulan.
+ Bucket Amazon S3 yang dikirimkan oleh CloudTrail jejak Anda agar [Kepemilikan Objek](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) disetel ke pemilik Bucket diberlakukan. 
+ Bucket Amazon S3 yang dikirimkan oleh CloudTrail jejak Anda dapat diakses oleh Accelerate.

#### Tinjau dan perbarui kebijakan bucket Amazon S3 untuk tujuan pengiriman CloudTrail acara Anda
<a name="acc-onb-trail-choices-bucket-policy"></a>

Selama orientasi, Anda bekerja sama dengan Cloud Architect (CA) untuk menambahkan pernyataan kebijakan bucket Amazon S3 ke tujuan CloudTrail pengiriman acara. Untuk memungkinkan pengguna menanyakan perubahan di bucket Amazon S3 tujuan pengiriman CloudTrail acara dari akun Accelerate, Anda dapat menerapkan peran IAM bernama seragam di setiap akun di Organisasi yang dikelola Accelerate, dan menambahkannya ke daftar di `aws:PrincipalArn` semua pernyataan kebijakan bucket Amazon S3. Dengan konfigurasi ini, pengguna dapat melakukan kueri dan menganalisis peristiwa jejak CloudTrail Organisasi akun Anda di Accelerate menggunakan Athena. Untuk informasi selengkapnya tentang cara memperbarui kebijakan bucket Amazon S3, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) di Panduan Pengguna Layanan *Penyimpanan Sederhana Amazon*.

**penting**  
Memperbarui kebijakan bucket Amazon S3 Anda hanya diperlukan jika Accelerate terintegrasi dengan CloudTrail jejak yang mengirimkan peristiwa ke bucket S3 terpusat. Accelerate tidak mendukung integrasi dengan CloudTrail jejak yang dikirim ke bucket terpusat tetapi tidak memiliki akun di bawah Organisasi. AWS 

**catatan**  
Sebelum memperbarui kebijakan bucket Amazon S3, ganti *red* bidang dengan nilai yang berlaku:  
*amzn-s3-demo-bucket*dengan nama bucket Amazon S3 yang berisi jejak peristiwa dari akun Anda.
*your-organization-id*dengan ID AWS Organisasi tempat akun Anda menjadi anggota.
*your-optional-s3-log-delievery-prefix*dengan awalan pengiriman ember Amazon S3 CloudTrail jejak Anda. Misalnya,`my-bucket-prefix`, bahwa Anda mungkin telah menetapkan ketika [Anda membuat CloudTrail jejak Anda](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).  
Jika Anda belum mengonfigurasi awalan pengiriman bucket Amazon S3 untuk jejak Anda, hapus "*your-optional-s3-log-delievery-prefix*" dan garis miring maju (`/`) dari pernyataan kebijakan bucket Amazon S3 berikut.

Tiga pernyataan kebijakan bucket Amazon S3 berikut memberikan akses Accelerate untuk mengambil konfigurasi dan menjalankan kueri AWS Athena untuk [menganalisis peristiwa di bucket Amazon S3 tujuan pengiriman CloudTrail acara Anda dari](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html) akun Accelerate Anda.

```
{
    "Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "s3:GetBucketLogging",
        "s3:GetBucketObjectLockConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:GetEncryptionConfiguration"
    ],
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
},
{
    "Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringLike": {
            "s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
},
{
    "Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "your-organization-id"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
}
```

#### Tinjau dan perbarui kebijakan AWS KMS utama untuk tujuan pengiriman CloudTrail acara Anda
<a name="acc-onb-trail-choices-kms-key-policy"></a>

Selama orientasi, Anda bekerja dengan Cloud Architect (CA) untuk memperbarui kebijakan AWS KMS utama yang digunakan untuk mengenkripsi peristiwa CloudTrail jejak yang dikirimkan ke bucket Amazon S3 Anda. Pastikan Anda menambahkan pernyataan kebijakan AWS KMS kunci referensi ke AWS KMS kunci yang ada. Ini mengonfigurasi Accelerate untuk berintegrasi dengan bucket Amazon S3 tujuan pengiriman event CloudTrail trail yang ada dan mendekripsi peristiwa. Untuk memungkinkan pengguna melakukan kueri perubahan di bucket Amazon S3 tujuan pengiriman CloudTrail acara dari akun Accelerate, Anda dapat menerapkan Peran IAM bernama seragam di setiap akun di Organisasi yang dikelola Accelerate, dan menambahkannya ke daftar “aws:”. PrincipalArn Dengan konfigurasi ini, pengguna Anda dapat melakukan kueri peristiwa.

Ada berbagai skenario pembaruan kebijakan AWS KMS utama yang perlu dipertimbangkan. Anda mungkin hanya memiliki AWS KMS kunci yang dikonfigurasi ke CloudTrail jejak Anda untuk mengenkripsi semua peristiwa, dan tidak memiliki AWS KMS kunci yang mengenkripsi objek di bucket Amazon S3 Anda. Atau, Anda mungkin memiliki satu AWS KMS kunci yang mengenkripsi peristiwa yang dikirimkan oleh CloudTrail, dan AWS KMS kunci lain yang mengenkripsi semua objek yang disimpan di bucket Amazon S3 Anda. Bila Anda memiliki dua AWS KMS kunci, Anda memperbarui kebijakan AWS KMS kunci untuk setiap kunci untuk memberikan akses Accelerate ke CloudTrail acara Anda. Pastikan Anda mengubah pernyataan kebijakan AWS KMS kunci referensi ke kebijakan AWS KMS kunci yang ada sebelum memperbarui kebijakan. Untuk informasi selengkapnya tentang cara memperbarui kebijakan AWS KMS kunci, lihat [Mengubah kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) di *Panduan AWS Key Management Service Pengguna*.

**penting**  
Anda harus memperbarui kebijakan AWS KMS kunci hanya jika Accelerate terintegrasi dengan CloudTrail jejak dengan enkripsi SSE-KMS file log diaktifkan.

**catatan**  
Sebelum Anda menerapkan pernyataan kebijakan AWS KMS kunci ini ke AWS KMS kunci yang digunakan untuk mengenkripsi AWS CloudTrail peristiwa yang dikirimkan ke bucket Amazon S3, ganti bidang *red* berikut dengan nilai yang berlaku:  
*YOUR-ORGANIZATION-ID*dengan ID AWS Organisasi, akun Anda adalah anggota.

[Pernyataan kebijakan AWS KMS utama ini memberikan Akselerasi akses untuk mendekripsi dan menanyakan peristiwa jejak yang dikirimkan ke bucket Amazon S3 dari setiap akun di Organisasi Anda dengan akses terbatas ke Athena, yang digunakan oleh Accelerate untuk menanyakan dan menganalisis peristiwa. CloudTrail ](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html) .

```
{
    "Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:CalledVia": "athena.amazonaws.com"
        },
        "StringEquals": {
            "aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID"
        },
        "ArnLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/ams-access-*"
            ]
        }
    }
}
```

# Template untuk membuat peran AMS
<a name="acc-onb-roles"></a>

Peran AMS berikut memberikan izin kepada arsitek cloud AMS (CA) Anda. File zip berikut berisi kode dan CloudFormation templat Terraform yang menyederhanakan pembuatan peran IAM, kebijakan izin, dan kebijakan kepercayaan. Untuk informasi lebih lanjut, konsultasikan dengan CA Anda.


| Nama Peran | Diperlukan oleh | Contoh Template | 
| --- |--- |--- |
| `aws_managedservices_onboarding_role` | Personel AMS selama orientasi saja | [onboarding\$1role\$1minimal.zip](samples/onboarding_role_minimal.zip) | 

**catatan**  
Setelah Anda memilih dan mengunduh templat sampel (satu per peran), Anda akan mengunggahnya sebagai definisi CloudFormation tumpukan. [Buat `aws_managedservices_onboarding_role` dengan CloudFormation untuk Mempercepat](acc-onb-create-roles-with-cf.md)

# Buat `aws_managedservices_onboarding_role` dengan CloudFormation untuk Mempercepat
<a name="acc-onb-create-roles-with-cf"></a>

Anda dapat membuat AWS Identity and Access Management peran,`aws_managedservices_onboarding_role`, dengan CloudFormation dari Konsol Manajemen AWS. Atau, Anda dapat menggunakan perintah dari AWS CloudShell untuk menyebarkan peran. 

## Gunakan Konsol Manajemen AWS
<a name="create-role-cf-console"></a>

**catatan**  
Sebelum memulai, siapkan file JSON atau YAMG untuk setiap peran yang siap diunggah. Untuk informasi selengkapnya, lihat [Template untuk membuat peran AMS](acc-onb-roles.md).

Untuk membuat peran dari Konsol Manajemen AWS, selesaikan langkah-langkah berikut:

1. Masuk ke Konsol Manajemen AWS dan buka CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).

    ![\[CloudFormation Stacks interface showing no stacks and options to create or view guide.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/images/image1.png)

1. Pilih **Buat Tumpukan > Dengan sumber daya baru (standar)**. Anda melihat halaman berikut. 

   ![\[Create stack interface with options to specify template and upload template file.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/images/image2.png)

1. **Pilih **Unggah file templat**, unggah file JSON atau YAMB dari peran IAM, lalu pilih Berikutnya.** Anda melihat halaman berikut.

   ![\[Form for specifying stack details, including stack name and parameters fields.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/images/image3.png)

1. Masukkan nama tumpukan "**ams-onboarding-role**" di bidang **Nama Tumpukan**. Masukkan **DateOfExpiry**menggunakan format “YYYY-MM-DDT 00:00:00 Z” (disarankan 30 hari dari tanggal saat ini). Lanjutkan menggulir ke bawah dan memilih berikutnya sampai Anda mencapai halaman ini: 

   ![\[Capabilities section with AWSIAM role requirement and checkbox for custom names.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/images/image4.png)

1. Pastikan kotak centang dipilih dan kemudian pilih **Create Stack**.

1. Pastikan tumpukan berhasil dibuat.

## Gunakan perintah dari AWS CloudShell
<a name="create-role-cf-cli"></a>

Untuk menerapkan peran `aws_managedservices_onboarding_role` IAM, jalankan perintah berikut di: [AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html)

------
#### [ AWS CLI ]

```
curl -s "https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip" -o "onboarding_role_minimal.zip"
unzip -q -o onboarding_role_minimal.zip
aws cloudformation create-stack \
    --stack-name "aws-managedservices-onboarding-role" \
    --capabilities CAPABILITY_NAMED_IAM \
    --template-body file://onboarding_role_minimal.json \
    --parameters ParameterKey=DateOfExpiry,ParameterValue="`date -d '+30 days' -u '+%Y-%m-%dT%H:%M:%SZ'`"
```

------
#### [ AWS Tools for PowerShell ]

```
Invoke-WebRequest -Uri 'https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip' -OutFile 'onboarding_role_minimal.zip'
Expand-Archive -Path 'onboarding_role_minimal.zip' -DestinationPath . -Force
New-CFNStack `
    -StackName 'aws-managedservices-onboarding-role' `
    -Capability CAPABILITY_NAMED_IAM `
    -TemplateBody (Get-Content 'onboarding_role_minimal.json' -Raw) `
    -Parameter @{ParameterKey = "DateOfExpiry"; ParameterValue = (Get-Date).AddDays(30).ToString('yyyy-MM-ddTHH:mm:ssZ')}
```

------

Setelah Anda membuat peran, bekerja dengan Cloud Architect (CA) Anda untuk menyelesaikan [Langkah 2. Sumber daya manajemen orientasi di Accelerate](acc-get-mgmt-resource-onboard.md) prosesnya. Setelah AMS memberi tahu Anda bahwa akun Anda aktif, Anda siap untuk melakukan onboard instans Anda.