Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Akun Zona Pendaratan Multi-Akun
**Topics**
+ [Akun manajemen](management-account.md)
+ [Akun jaringan](networking-account.md)
+ [Akun Layanan Bersama](shared-services-account.md)
+ [Akun Arsip Log](logging-account.md)
+ [Akun keamanan](security-account.md)
+ [Jenis akun aplikasi](application-account.md)
+ [Akun AMS Tools (memigrasikan beban kerja)](tools-account.md)
# Akun manajemen
Akun manajemen adalah akun AWS awal Anda saat Anda mulai melakukan orientasi dengan AMS. Ini menggunakan AWS Organizations sebagai akun manajemen (juga dikenal sebagai akun pembayar yang membayar biaya semua akun anggota), yang memberikan akun kemampuan untuk membuat dan mengelola akun anggota secara finansial. Ini berisi kerangka kerja AWS landing zone (ALZ), set tumpukan konfigurasi akun, kebijakan kontrol layanan AWS Organization (SCPs), dll.
Untuk informasi selengkapnya tentang penggunaan akun manajemen, lihat [Praktik terbaik untuk akun manajemen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html).
Diagram berikut memberikan gambaran tingkat tinggi dari sumber daya yang terkandung dalam akun manajemen.
![\[Akun manajemen overview showing AMS Customer Region and various Layanan AWS and features.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/management-account.png)
## Sumber daya di akun manajemen
Selain layanan standar di atas, tidak ada sumber daya AWS tambahan yang dibuat di akun manajemen selama orientasi. Input berikut diperlukan selama orientasi ke AMS:
+ *ID akun manajemen*: ID Akun AWS yang awalnya dibuat oleh Anda.
+ *Email Akun Inti*: Berikan email yang akan dikaitkan dengan masing-masing akun inti: Jaringan, Layanan Bersama, Logging, dan akun Keamanan.
+ *Wilayah Layanan*: Menyediakan wilayah AWS tempat semua sumber daya dari landing zone AMS Anda akan digunakan.
# Akun jaringan
Akun Networking berfungsi sebagai hub pusat untuk perutean jaringan antara akun landing zone multi-akun AMS, jaringan lokal Anda, dan lalu lintas keluar ke Internet. Selain itu, akun ini berisi benteng DMZ publik yang merupakan titik masuk bagi insinyur AMS untuk mengakses host di lingkungan AMS. Untuk detailnya, lihat diagram tingkat tinggi berikut dari akun jaringan di bawah ini.
![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/malzNetworkAccount.png)
# Arsitektur akun jaringan
Diagram berikut menggambarkan lingkungan landing zone multi-akun AMS, menampilkan arus lalu lintas jaringan di seluruh akun, dan merupakan contoh pengaturan yang sangat tersedia.
![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW-2.png)
![\[Diagram showing network traffic flow between Akun AWS, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)
AMS mengonfigurasi semua aspek jaringan untuk Anda berdasarkan templat standar kami dan opsi pilihan Anda yang disediakan selama orientasi. Desain jaringan AWS standar diterapkan ke akun AWS Anda, dan VPC dibuat untuk Anda dan terhubung ke AMS oleh VPN atau Direct Connect. Untuk informasi selengkapnya tentang Direct Connect, lihat [AWS Direct Connect](https://aws.amazon.com/directconnect/). Standar VPCs termasuk DMZ, layanan bersama, dan subnet aplikasi. Selama proses orientasi, tambahan VPCs mungkin diminta dan dibuat agar sesuai dengan kebutuhan Anda (misalnya, divisi pelanggan, mitra). Setelah onboarding, Anda diberikan diagram jaringan: dokumen lingkungan yang menjelaskan bagaimana jaringan Anda telah diatur.
**catatan**
Untuk informasi tentang batasan dan batasan layanan default untuk semua layanan aktif, lihat dokumentasi [AWS Service](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) Limits.
Desain jaringan kami dibangun di sekitar [“Prinsip Hak Istimewa Terkecil”](https://en.wikipedia.org/wiki/Principle_of_least_privilege) Amazon. Untuk mencapai hal ini, kami merutekan semua lalu lintas, masuk dan keluar, melalui DMZ, kecuali lalu lintas yang berasal dari jaringan tepercaya. Satu-satunya jaringan tepercaya adalah jaringan yang dikonfigurasi antara lingkungan lokal Anda dan VPC melalui penggunaan and/or VPN dan AWS Direct Connect (DX). Akses diberikan melalui penggunaan instans benteng, sehingga mencegah akses langsung ke sumber daya produksi apa pun. Semua aplikasi dan sumber daya Anda berada di dalam subnet pribadi yang dapat dijangkau melalui penyeimbang beban publik. Lalu lintas jalan keluar publik mengalir melalui NAT Gateways di jalan keluar VPC (di akun Jaringan) ke Internet Gateway dan kemudian ke Internet. Atau, lalu lintas dapat mengalir melalui VPN atau Direct Connect ke lingkungan lokal Anda.
# Konektivitas jaringan pribadi ke lingkungan landing zone multi-akun AMS
AWS menawarkan konektivitas pribadi melalui konektivitas jaringan pribadi virtual (VPN), atau jalur khusus dengan AWS Direct Connect. Konektivitas pribadi di lingkungan multi-akun Anda, diatur menggunakan salah satu metode yang dijelaskan berikut:
+ Konektivitas Edge terpusat menggunakan Transit Gateway
+ Menghubungkan Direct Connect (DX) and/or VPN ke akun virtual private cloud () VPCs
# Konektivitas tepi terpusat menggunakan gateway transit
AWS Transit Gateway adalah layanan yang memungkinkan Anda menghubungkan jaringan lokal VPCs dan lokal ke satu gateway. Transit gateway (TGW) dapat digunakan untuk mengkonsolidasikan konektivitas edge yang ada dan mengarahkannya melalui satu titik. ingress/egress Transit gateway dibuat di akun jaringan lingkungan multi-akun AMS Anda. Untuk detail selengkapnya tentang gateway transit, lihat [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
Gateway AWS Direct Connect (DX) digunakan untuk menghubungkan koneksi DX Anda melalui antarmuka virtual transit ke VPCs atau VPNs yang dilampirkan ke gateway transit Anda. Anda mengaitkan gateway Direct Connect dengan transit gateway. Kemudian, buat antarmuka virtual transit untuk koneksi AWS Direct Connect Anda ke gateway Direct Connect. Untuk informasi tentang antarmuka virtual DX, lihat [AWS Direct Connect Virtual](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html) Interfaces.
Konfigurasi ini menawarkan manfaat sebagai berikut. Anda dapat:
+ Kelola satu koneksi untuk beberapa VPCs atau VPNs yang berada di Wilayah AWS yang sama.
+ Iklankan awalan dari lokal ke AWS, dan dari AWS ke lokal.
**catatan**
[Untuk informasi tentang penggunaan DX dengan layanan AWS, lihat bagian Ketahanan Toolkit Klasik.](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html) Untuk informasi selengkapnya, lihat [asosiasi Transit Gateway](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html).
![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/malz-cent-edge.png)
Untuk meningkatkan ketahanan konektivitas Anda, kami sarankan Anda melampirkan setidaknya dua antarmuka virtual transit dari lokasi AWS Direct Connect yang berbeda ke gateway Direct Connect. Untuk informasi selengkapnya, lihat rekomendasi [ketahanan AWS Direct Connect](https://aws.amazon.com/directconnect/resiliency-recommendation/).
# Menghubungkan DX atau VPN ke akun VPCs
Dengan opsi ini, lingkungan landing zone multi-akun AMS Anda terhubung langsung ke Direct Connect atau VPN. VPCs Lalu lintas langsung mengalir dari VPCs ke Direct Connect atau VPN tanpa melintasi gateway transit.
# Sumber daya di akun jaringan
Seperti yang ditunjukkan pada diagram akun jaringan, komponen berikut dibuat di akun dan memerlukan masukan Anda.
**Akun Networking berisi dua VPCs: **Egress VPC dan DMZ VPC** juga dikenal sebagai **Perimeter VPC**.**
# Manajer Jaringan AWS
AWS Network Manager adalah layanan yang memungkinkan Anda memvisualisasikan jaringan transit gateway (TGW) Anda tanpa biaya tambahan ke AMS. Ini menyediakan pemantauan jaringan terpusat pada sumber daya AWS dan pada jaringan lokal, satu tampilan global jaringan pribadi mereka dalam diagram topologi dan dalam peta geografis, dan metrik pemanfaatan, seperti status koneksi byte. in/out, packets in/out, packets dropped, and alerts for changes in the topology, routing, and up/down Untuk informasi, lihat [AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/).
Gunakan salah satu peran berikut untuk mengakses sumber daya ini:
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole
# Keluar VPC
VPC Egress terutama digunakan untuk lalu lintas keluar ke Internet dan terdiri dari public/private subnet di hingga tiga zona ketersediaan (). AZs Gateway terjemahan alamat jaringan (NAT) disediakan di subnet publik, dan lampiran VPC transit gateway (TGW) dibuat di subnet pribadi. Jalan keluar, atau keluar, lalu lintas internet dari semua jaringan masuk melalui subnet pribadi melalui TGW, di mana kemudian dialihkan ke NAT melalui tabel rute VPC.
Untuk Anda VPCs yang berisi aplikasi yang menghadap publik di subnet publik, lalu lintas yang berasal dari internet terkandung dalam VPC itu. Lalu lintas kembali tidak diarahkan ke TGW atau Egress VPC, tetapi dirutekan kembali melalui internet gateway (IGW) di VPC.
**catatan**
Rentang CIDR VPC Jaringan: Saat Anda membuat VPC, Anda harus menentukan rentang alamat IPv4 untuk VPC dalam bentuk blok Classless Inter-Domain Routing (CIDR); misalnya, 10.0.16.0/24. Ini akan menjadi blok CIDR utama VPC Anda.
Tim landing zone multi-akun AMS merekomendasikan rentang 24 (dengan lebih banyak alamat IP) untuk menyediakan beberapa buffer jika sumber daya/peralatan lain, digunakan di masa mendatang.
# Firewall jalan keluar Palo Alto yang dikelola
AMS menyediakan solusi firewall jalan keluar Palo Alto Terkelola, yang memungkinkan pemfilteran lalu lintas keluar internet untuk semua jaringan di lingkungan Zona Pendaratan Multi-Akun (tidak termasuk layanan yang dihadapi publik). Solusi ini menggabungkan teknologi firewall terkemuka di industri (Palo Alto VM-300) dengan kemampuan manajemen infrastruktur AMS untuk menyebarkan, memantau, mengelola, menskalakan, dan memulihkan infrastruktur dalam lingkungan operasi yang sesuai. Pihak ketiga, termasuk Palo Alto Networks, tidak memiliki akses ke firewall; mereka dikelola hanya oleh insinyur AMS.
## Kontrol lalu lintas
Solusi firewall keluar terkelola mengelola daftar izin domain yang terdiri dari domain yang diperlukan AMS untuk layanan seperti cadangan dan tambalan, serta domain yang Anda tentukan. Ketika lalu lintas internet keluar diarahkan ke firewall, sesi dibuka, lalu lintas dievaluasi, dan jika cocok dengan domain yang diizinkan, lalu lintas diteruskan ke tujuan.
## Arsitektur
Solusi firewall jalan keluar terkelola mengikuti model ketersediaan tinggi, di mana dua hingga tiga firewall digunakan tergantung pada jumlah zona ketersediaan (). AZs Solusinya menggunakan bagian dari ruang IP dari VPC keluar default, tetapi juga menyediakan ekstensi VPC (/24) untuk sumber daya tambahan yang diperlukan untuk mengelola firewall.
![\[Network diagram showing Egress VPC with subnets, AMS Firewall VPC Extension, and associated resources.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/malz-pa-firewall-arch.png)
## Aliran jaringan
![\[AWS network architecture diagram showing Application, Networking, and Shared Services accounts with VPCs and subnets.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/malz-pa-firewall-net-flow.png)
![\[Traffic key showing different types of AWS network traffic with color-coded lines.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/malz-pa-firewall-net-flow-legend.png)
Pada tingkat tinggi, perutean lalu lintas jalan keluar publik tetap sama, kecuali bagaimana lalu lintas diarahkan ke internet dari VPC jalan keluar:
1. Lalu lintas jalan keluar yang ditujukan untuk internet dikirim ke Transit Gateway (TGW) melalui tabel rute VPC
1. TGW merutekan lalu lintas ke VPC jalan keluar melalui tabel rute TGW
1. VPC merutekan lalu lintas ke internet melalui tabel rute subnet pribadi
1. Di lingkungan Zona Pendaratan Multi-Akun default, lalu lintas internet dikirim langsung ke gateway terjemahan alamat jaringan (NAT). Solusi firewall terkelola mengkonfigurasi ulang tabel rute subnet pribadi untuk mengarahkan rute default (0.0.0.0/0) ke antarmuka firewall sebagai gantinya.
Firewall itu sendiri berisi tiga antarmuka:
1. Antarmuka tepercaya: Antarmuka pribadi untuk menerima lalu lintas yang akan diproses.
1. Antarmuka tidak tepercaya: Antarmuka publik untuk mengirim lalu lintas ke internet. Karena firewall menjalankan NAT, server eksternal menerima permintaan dari alamat IP publik ini.
1. Antarmuka manajemen: Antarmuka pribadi untuk API firewall, pembaruan, konsol, dan sebagainya.
Sepanjang semua perutean, lalu lintas dipertahankan dalam zona ketersediaan yang sama (AZ) untuk mengurangi lalu lintas lintas lintas AZ. Lalu lintas hanya melintas AZs ketika failover terjadi.
## Modifikasi daftar izinkan
Setelah onboarding, daftar izin default dibuat, berisi titik akhir publik yang diperlukan AMS serta titik akhir publik untuk `ams-allowlist` menambal host Windows dan Linux. Setelah beroperasi, Anda dapat membuat RFC di konsol AMS di bawah kategori Management \$1 Managed Firewall \$1 Outbound (Palo Alto) untuk membuat atau menghapus daftar yang diizinkan, atau memodifikasi domain. Ketahuilah bahwa `ams-allowlist` tidak dapat dimodifikasi. RFC ditangani dengan otomatisasi penuh (tidak manual).
## Kebijakan keamanan khusus
Kebijakan keamanan menentukan apakah akan memblokir atau mengizinkan sesi berdasarkan atribut lalu lintas, seperti zona keamanan sumber dan tujuan, alamat IP sumber dan tujuan, dan layanan. Kebijakan keamanan khusus didukung dengan sepenuhnya otomatis RFCs. CTs untuk membuat atau menghapus kebijakan keamanan dapat ditemukan di bawah kategori Manajemen \$1 Firewall Terkelola \$1 Keluar (Palo Alto), dan CT untuk mengedit kebijakan keamanan yang ada dapat ditemukan di bawah kategori Deployment \$1 Managed Firewall \$1 Outbound (Palo Alto). Anda akan dapat membuat kebijakan keamanan baru, mengubah kebijakan keamanan, atau menghapus kebijakan keamanan.
**catatan**
Kebijakan keamanan default `ams-allowlist` tidak dapat diubah
## CloudWatch Dasbor jalan keluar PA
Dua dasbor dapat ditemukan CloudWatch untuk memberikan tampilan agregat Palo Alto (PA). **dasbor AMS-MF-PA-Egress-config-menyediakan** ikhtisar konfigurasi PA, tautan ke daftar izin, dan daftar semua kebijakan keamanan termasuk atributnya. Dasbor **AMS-MF-PA-Egress dapat disesuaikan untuk memfilter log lalu lintas**. Misalnya, untuk membuat dasbor untuk kebijakan keamanan, Anda dapat membuat RFC dengan filter seperti:
```
fields @timestamp, @message
| filter @logStream like /pa-traffic-logs/
| filter @message like //
| parse @message "*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*," as x1, @x2, @x3, @x4, @type, @x6, @x7, @source_ip, @destination_ip, @source_nat_ip, @dest_nat_ip, @rule, @x13, @x14, @application, @x16, @from_zone, @to_zone, @x19, @x20, @x21, @x22, @session_id, @x24, @source_port, @destination_port, @source_nat_port, @destination_nat_port, @x29, @protocol, @action, @bytes, @bytes_sent, @bytes_recieved, @packets, @x36, @x37, @category, @x39, @x40, @x41, @source_country, @destination_country, @x44, @packets_sent, @packets_recieved, @session_end_reason, @x48, @x49, @x50
| display @timestamp, @rule, @action, @session_end_reason, @protocol, @source_ip, @destination_ip, @source_port, @destination_port, @session_id, @from_zone, @to_zone, @category, @bytes_sent, @bytes_recieved, @packets_sent, @packets_recieved, @source_country, @destination_country
```
## Model failover
Solusi firewall mencakup dua-tiga host Palo Alto (PA) (satu per AZ). Kenari cek sehat berjalan dengan jadwal konstan untuk mengevaluasi kesehatan tuan rumah. Jika host diidentifikasi sebagai tidak sehat, AMS diberi tahu dan lalu lintas untuk AZ tersebut secara otomatis dialihkan ke host yang sehat di AZ yang berbeda melalui perubahan tabel rute. Karena alur kerja pemeriksaan kesehatan berjalan terus-menerus, jika host menjadi sehat kembali karena masalah sementara atau remediasi manual, lalu lintas digeser kembali ke AZ yang benar dengan host yang sehat.
## Penskalaan
AMS memonitor firewall untuk batas throughput dan penskalaan. Ketika batas throughput melebihi ambang batas watermark yang lebih rendah (CPU/jaringan), AMS menerima peringatan. Ambang batas pembuat air yang rendah menunjukkan bahwa sumber daya mendekati saturasi, mencapai titik di mana AMS akan mengevaluasi metrik dari waktu ke waktu dan menjangkau untuk menyarankan solusi penskalaan.
## Pencadangan dan Pemulihan
Cadangan dibuat selama peluncuran awal, setelah perubahan konfigurasi apa pun, dan pada interval reguler. Pencadangan peluncuran awal dibuat berdasarkan per host, tetapi perubahan konfigurasi dan pencadangan interval reguler dilakukan di semua host firewall saat alur kerja cadangan dipanggil. Insinyur AMS dapat membuat cadangan tambahan di luar jendela tersebut atau memberikan detail cadangan jika diminta.
Insinyur AMS dapat melakukan pemulihan cadangan konfigurasi jika diperlukan. Jika restorasi diperlukan, itu akan terjadi di semua host untuk menjaga konfigurasi antar host tetap sinkron.
Restorasi juga dapat terjadi ketika host membutuhkan daur ulang lengkap dari sebuah instance. Pemulihan otomatis cadangan terbaru terjadi ketika EC2 instance baru disediakan. Secara umum, host tidak didaur ulang secara teratur, dan dicadangkan untuk kegagalan berat atau swap AMI yang diperlukan. Daur ulang host dimulai secara manual, dan Anda diberi tahu sebelum daur ulang terjadi.
Selain cadangan konfigurasi firewall, aturan daftar izin khusus Anda dicadangkan secara terpisah. Cadangan dibuat secara otomatis ketika aturan daftar izin yang Anda tetapkan diubah. Pemulihan cadangan daftar izin dapat dilakukan oleh insinyur AMS, jika diperlukan.
## Pembaruan
Solusi Firewall Terkelola AMS memerlukan berbagai pembaruan dari waktu ke waktu untuk menambahkan peningkatan pada sistem, fitur tambahan, atau pembaruan ke sistem operasi firewall (OS) atau perangkat lunak.
Sebagian besar perubahan tidak akan mempengaruhi lingkungan berjalan seperti memperbarui infrastruktur otomatisasi, tetapi perubahan lain seperti rotasi instance firewall atau pembaruan OS dapat menyebabkan gangguan. Ketika potensi gangguan layanan karena pembaruan dievaluasi, AMS akan berkoordinasi dengan Anda untuk mengakomodasi jendela pemeliharaan.
## Akses operator
Operator AMS menggunakan ActiveDirectory kredensialnya untuk masuk ke perangkat Palo Alto untuk melakukan operasi (misalnya, menambal, menanggapi suatu peristiwa, dll.). Solusi ini mempertahankan otentikasi Operator AMS standar dan log perubahan konfigurasi untuk melacak tindakan yang dilakukan pada Host Palo Alto.
## Log default
Secara default, log yang dihasilkan oleh firewall berada di penyimpanan lokal untuk setiap firewall. Seiring waktu, log lokal akan dihapus berdasarkan pemanfaatan penyimpanan. Solusi AMS menyediakan pengiriman log off mesin secara real-time ke CloudWatch log; untuk informasi lebih lanjut, lihat[CloudWatch Integrasi log](#networking-pa-firewall-cw-logs).
Insinyur AMS masih memiliki kemampuan untuk menanyakan dan mengekspor log langsung dari mesin jika diperlukan. Selain itu, log dapat dikirim ke Panorama milik pelanggan; untuk informasi lebih lanjut, lihat. [Integrasi Panorama](#networking-pa-firewall-panorama)
Log yang dikumpulkan oleh solusi adalah sebagai berikut:
**Kode Status RFC**
| Jenis Log | Deskripsi |
| --- | --- |
| Lalu lintas | Menampilkan entri untuk awal dan akhir setiap sesi. Setiap entri mencakup tanggal dan waktu, zona sumber dan tujuan, alamat dan port, nama aplikasi, nama aturan keamanan yang diterapkan pada alur, tindakan aturan (izinkan, tolak, atau jatuhkan), antarmuka masuk dan keluar, jumlah byte, dan alasan akhir sesi. Kolom Type menunjukkan apakah entri untuk awal atau akhir sesi, atau apakah sesi ditolak atau dibatalkan. “Penurunan” menunjukkan bahwa aturan keamanan yang memblokir lalu lintas yang ditentukan aplikasi “apa saja”, sedangkan “penolakan” menunjukkan aturan mengidentifikasi aplikasi tertentu. Jika lalu lintas dijatuhkan sebelum aplikasi diidentifikasi, seperti ketika aturan menjatuhkan semua lalu lintas untuk layanan tertentu, aplikasi ditampilkan sebagai “tidak berlaku”. |
| Ancaman | Menampilkan entri untuk setiap alarm keamanan yang dihasilkan oleh firewall. Setiap entri mencakup tanggal dan waktu, nama ancaman atau URL, zona sumber dan tujuan, alamat, dan port, nama aplikasi, dan tindakan alarm (izinkan atau blokir) dan tingkat keparahan. Kolom Type menunjukkan jenis ancaman, seperti “virus” atau “spyware;” kolom Nama adalah deskripsi ancaman atau URL; dan kolom Kategori adalah kategori ancaman (seperti “keylogger”) atau kategori URL. |
| Penyaringan URL | Menampilkan log untuk filter URL, yang mengontrol akses ke situs web dan apakah pengguna dapat mengirimkan kredensil ke situs web. |
| Konfigurasi | Menampilkan entri untuk setiap perubahan konfigurasi. Setiap entri mencakup tanggal dan waktu, nama pengguna administrator, alamat IP dari mana perubahan dilakukan, jenis klien (antarmuka web atau CLI), jenis perintah yang dijalankan, apakah perintah berhasil atau gagal, jalur konfigurasi, dan nilai sebelum dan sesudah perubahan. |
| Sistem | Menampilkan entri untuk setiap acara sistem. Setiap entri mencakup tanggal dan waktu, tingkat keparahan acara, dan deskripsi acara. |
| Alarm | Log alarm mencatat informasi terperinci tentang alarm yang dihasilkan oleh sistem. Informasi dalam log ini juga dilaporkan di Alarm. Lihat “Tentukan Pengaturan Alarm”. |
| Autentikasi | Menampilkan informasi tentang peristiwa otentikasi yang terjadi ketika pengguna akhir mencoba mengakses sumber daya jaringan yang aksesnya dikendalikan oleh aturan kebijakan Otentikasi. Pengguna dapat menggunakan informasi ini untuk membantu memecahkan masalah akses dan menyesuaikan kebijakan Autentikasi pengguna sesuai kebutuhan. Dalam hubungannya dengan objek korelasi, pengguna juga dapat menggunakan log Otentikasi untuk mengidentifikasi aktivitas mencurigakan di jaringan pengguna, seperti serangan brute force. Secara opsional, pengguna dapat mengonfigurasi aturan Otentikasi ke Timeout Otentikasi Log. Batas waktu ini berhubungan dengan periode waktu ketika pengguna membutuhkan otentikasi untuk sumber daya hanya sekali tetapi dapat mengaksesnya berulang kali. Melihat informasi tentang batas waktu membantu pengguna memutuskan apakah dan bagaimana menyesuaikannya. |
| Terpadu | Menampilkan entri log Traffic, Threat, URL Filtering, WildFire Submissions, dan Data Filtering terbaru dalam satu tampilan. Tampilan log kolektif memungkinkan pengguna untuk menyelidiki dan memfilter berbagai jenis log ini bersama-sama (alih-alih mencari setiap set log secara terpisah). Atau, pengguna dapat memilih jenis log mana yang akan ditampilkan: klik panah di sebelah kiri bidang filter dan pilih lalu lintas, ancaman, url, data, and/or api untuk hanya menampilkan jenis log yang dipilih. |
## Manajemen acara
AMS terus memantau kapasitas, status kesehatan, dan ketersediaan firewall. Metrik yang dihasilkan dari firewall, serta metrik AWS/AMS yang dihasilkan, digunakan untuk membuat alarm yang diterima oleh insinyur operasi AMS, yang akan menyelidiki dan menyelesaikan masalah. Alarm saat ini mencakup kasus-kasus berikut:
Alarm Acara:
+ Pemanfaatan CPU Dataplane Firewall
+ Pemanfaatan CPU - CPU Dataplane (Memproses lalu lintas)
+ Pemanfaatan Paket Dataplane Firewall di atas 80%
+ Pemanfaatan paket - Dataplane (Memproses lalu lintas)
+ Pemanfaatan Sesi Dataplane Firewall
+ Sesi Dataplane Firewall Aktif
+ Pemanfaatan CPU Firewall Agregat
+ Pemanfaatan CPU di semua CPUs
+ Failover Oleh AZ
+ Alarm saat kegagalan terjadi di AZ
+ Host Syslog Tidak Sehat
+ Host Syslog gagal dalam pemeriksaan kesehatan
Alarm Manajemen:
+ Alarm Kegagalan Monitor Pemeriksaan Kesehatan
+ Ketika alur kerja pemeriksaan kesehatan gagal secara tak terduga
+ Ini untuk alur kerja itu sendiri, bukan jika pemeriksaan kesehatan firewall gagal
+ Alarm Kegagalan Rotasi Sandi
+ Saat rotasi kata sandi gagal
+ Kata sandi pengguna API/layanan diputar setiap 90 hari
## Metrik
Semua metrik ditangkap dan disimpan CloudWatch di akun Jaringan. Ini dapat dilihat dengan mendapatkan akses konsol ke akun Jaringan dan menavigasi ke konsol. CloudWatch **Metrik individual dapat dilihat di bawah tab metrik atau tampilan dasbor panel tunggal dari metrik tertentu dan metrik agregat dapat dilihat dengan menavigasi ke tab Dasbor, dan memilih dasbor AMS-MF-PA-Egress.**
Metrik Kustom:
+ Pemeriksaan Kondisi
+ Namespace: AMS/MF/PA/Egress
+ PARouteTableConnectionsByAZ
+ PAUnhealthyByInstance
+ PAUnhealthyAggregatedByAZ
+ PAHealthCheckLockState
+ Firewall Dihasilkan
+ Ruang nama:/AMS/MF/PA/Egress
+ DataPlaneCPUUtilizationPct
+ DataPlanePacketBuffferUtilization
+ panci GPGateway UtilizationPct
+ panSessionActive
+ panSessionUtilization
## CloudWatch Integrasi log
CloudWatch Integrasi log meneruskan log dari firewall ke CloudWatch Log, yang mengurangi risiko kehilangan log karena pemanfaatan penyimpanan lokal. Log diisi secara real-time saat firewall menghasilkannya, dan dapat dilihat sesuai permintaan melalui konsol atau API.
Kueri kompleks dapat dibuat untuk analisis log atau diekspor ke CSV menggunakan Wawasan. CloudWatch Selain itu, CloudWatch dasbor AMS Managed Firewall kustom juga akan menampilkan tampilan cepat dari kueri log lalu lintas tertentu dan visualisasi grafik lalu lintas dan klik kebijakan dari waktu ke waktu. Memanfaatkan CloudWatch log juga memungkinkan integrasi asli ke layanan AWS lainnya seperti AWS Kinesis.
**catatan**
Log PA tidak dapat langsung diteruskan ke kolektor Syslog on-prem atau pihak ketiga yang ada. Solusi AMS Managed Firewall menyediakan pengiriman real-time log off dari mesin PA ke AWS CloudWatch Logs. Anda dapat menggunakan fitur CloudWatch Log Insight untuk menjalankan kueri ad-hoc. Selain itu, log dapat dikirim ke solusi manajemen Panorama Palo Alto Anda. CloudWatch log juga dapat diteruskan ke tujuan lain menggunakan Filter CloudWatch Langganan. Pelajari lebih lanjut tentang Panorama di bagian berikut. Untuk mempelajari lebih lanjut tentang Splunk, lihat [Mengintegrasikan dengan](https://docs.aws.amazon.com/managedservices/latest/userguide/enable-Splunk-log-push.html) Splunk.
## Integrasi Panorama
AMS Managed Firewall dapat, opsional, diintegrasikan dengan Panorama Anda yang ada. Ini memungkinkan Anda untuk melihat konfigurasi firewall dari Panorama atau meneruskan log dari firewall ke Panorama. Integrasi Panorama dengan AMS Managed Firewall hanya dibaca, dan perubahan konfigurasi pada firewall dari Panorama tidak diperbolehkan. Panorama sepenuhnya dikelola dan dikonfigurasi oleh Anda, AMS hanya akan bertanggung jawab untuk mengonfigurasi firewall untuk berkomunikasi dengannya.
## Lisensi
Harga Firewall Terkelola AMS tergantung pada jenis lisensi yang digunakan, setiap jam atau membawa lisensi Anda sendiri (BYOL), dan ukuran instans di mana alat berjalan. Anda diharuskan memesan ukuran instans dan lisensi firewall Palo Alto yang Anda inginkan melalui AWS Marketplace.
+ Lisensi Marketplace: Terima syarat dan ketentuan Bundel Firewall Generasi Berikutnya Seri VM 1 dari akun jaringan di MALZ.
+ Lisensi BYOL: Terima syarat dan ketentuan Firewall Generasi Berikutnya (BYOL) Seri VM dari akun jaringan di MALZ dan bagikan “kode autentikasi BYOL” yang diperoleh setelah membeli lisensi ke AMS.
## Batasan
Saat ini, AMS mendukung firewall seri VM-300 atau seri VM-500. Konfigurasi dapat ditemukan di sini: Model [Seri VM pada Instans AWS](https://docs.paloaltonetworks.com/vm-series/10-0/vm-series-performance-capacity/vm-series-performance-capacity/vm-series-on-aws-models-and-instances.html), EC2
**catatan**
Solusi AMS berjalan dalam mode Aktif-Aktif karena setiap instans PA di AZ-nya menangani lalu lintas keluar untuk AZ mereka yang dihormati. Jadi, dengan dua AZs, setiap instans PA menangani lalu lintas keluar hingga 5 Gbps dan secara efektif memberikan throughput 10 Gbps keseluruhan di dua. AZs Hal yang sama berlaku untuk semua batasan di setiap AZ. Jika pemeriksaan kesehatan AMS gagal, kami mengalihkan lalu lintas dari AZ dengan PA buruk ke AZ lain, dan selama penggantian instans, kapasitas dikurangi ke AZs batas yang tersisa.
AMS saat ini tidak mendukung bundel Palo Alto lain yang tersedia di AWS Marketplace; misalnya, Anda tidak dapat meminta “Bundel Firewall Generasi Berikutnya Seri VM 2". Perhatikan bahwa solusi AMS Managed Firewall yang menggunakan Palo Alto saat ini hanya menyediakan penawaran pemfilteran lalu lintas keluar, jadi menggunakan bundel seri VM lanjutan tidak akan memberikan fitur atau manfaat tambahan apa pun.
## Persyaratan orientasi
+ Anda harus meninjau dan menyetujui Syarat dan Ketentuan Firewall Generasi Berikutnya Seri VM dari Palo Alto di AWS Marketplace.
+ Anda harus mengonfirmasi ukuran instans yang ingin Anda gunakan berdasarkan beban kerja yang diharapkan.
+ Anda harus menyediakan Blok CIDR /24 yang tidak bertentangan dengan jaringan di lingkungan Zona Pendaratan Multi-Akun atau On-Prem Anda. Itu harus dari kelas yang sama dengan Egress VPC (Solusi menyediakan ekstensi/24 VPC ke VPC Egress).
## Harga
Biaya infrastruktur dasar AMS Managed Firewall dibagi dalam tiga driver utama: EC2 instance yang menghosting firewall Palo Alto, lisensi perangkat lunak Palo Alto VM-series lisensi, dan Integrasi. CloudWatch
Harga berikut didasarkan pada firewall seri VM-300.
+ EC2 Contoh: Firewall Palo Alto berjalan dalam model ketersediaan tinggi 2-3 EC2 instance, di mana instance didasarkan pada beban kerja yang diharapkan. Biaya untuk contoh tergantung pada wilayah dan jumlah AZs
+ Mantan us-east-1, m5.xlarge, 3 AZs
+ \$10,192 \$1 24 \$1 30 \$1 3 = \$1414,72
+ https://aws.amazon.com/ec2/harga/sesuai permintaan/
+ Lisensi Palo Alto: Biaya lisensi perangkat lunak dari firewall generasi berikutnya Palo Alto VM-300 tergantung pada jumlah AZ serta jenis instans.
+ Mantan us-east-1, m5.xlarge, 3 AZs
+ \$10,87 \$1 24 \$1 30 \$1 3 = \$11879,20
+ https://aws.amazon.com/marketplace/pp/B083m7jpkB? ref\$1=srh\$1res\$1product\$1title \$1pdp -harga
+ CloudWatch Integrasi CloudWatch Log: integrasi log menggunakan SysLog server (EC2 - t3.medium), NLB, dan Log. CloudWatch Biaya server didasarkan pada wilayah dan jumlah AZs, dan biaya NLB/CloudWatch log bervariasi berdasarkan pemanfaatan lalu lintas.
+ Contoh us-east-1, t3.medium, 3AZ
+ \$10,0416 \$1 24 \$1 30 \$1 3 = \$189,86
+ https://aws.amazon.com/ec2/harga/sesuai permintaan/
+ https://aws.amazon.com/cloudwatch/harga/
# Perimeter (DMZ) VPC
Perimeter, atau DMZ, VPC berisi sumber daya yang diperlukan untuk insinyur Operasi AMS untuk mengakses jaringan AMS. Ini berisi subnet publik di 2-3 AZs, dengan host SSH Bastions dalam grup Auto Scaling (ASG) untuk insinyur Operasi AMS untuk masuk atau melalui terowongan. **Kelompok keamanan yang melekat pada benteng DMZ berisi aturan masuk port 22 dari Amazon Corp Networks.**
Rentang *CIDR VPC DMZ: Saat Anda membuat VPC, Anda harus menentukan rentang* alamat IPv4 untuk VPC dalam bentuk blok Classless Inter-Domain Routing (CIDR); misalnya, 10.0.16.0/24. Ini akan menjadi blok CIDR utama VPC Anda.
**catatan**
Tim AMS merekomendasikan rentang 24 (dengan lebih banyak alamat IP) untuk menyediakan beberapa buffer jika sumber daya lain, seperti firewall, digunakan di masa depan.
# AWS Transit Gateway
AWS Transit Gateway (TGW) adalah layanan yang memungkinkan Anda menghubungkan Amazon Virtual Private Clouds (VPCs) dan jaringan lokal Anda ke satu gateway. Transit gateway adalah backbone jaringan yang menangani routing antara jaringan akun AMS dan jaringan eksternal. Untuk informasi tentang Transit Gateway, lihat [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
Berikan masukan berikut untuk membuat sumber daya ini:
+ Nomor *ASN Transit Gateway \$1: Berikan Nomor* Sistem Otonomi pribadi (ASN) untuk gateway transit Anda. Ini harus menjadi ASN untuk sisi AWS dari sesi Border Gateway Protocol (BGP). Kisarannya adalah 64512 hingga 65534 untuk 16-bit. ASNs
# Akun Layanan Bersama
Akun Layanan Bersama berfungsi sebagai hub pusat untuk sebagian besar layanan pesawat data AMS. Akun berisi infrastruktur dan sumber daya yang diperlukan untuk manajemen akses (AD), manajemen keamanan titik akhir (Trend Micro), dan berisi benteng pelanggan (SSH/RDP). Gambaran umum tingkat tinggi dari sumber daya yang terkandung dalam Akun Layanan Bersama ditampilkan dalam grafik berikut.
![\[Diagram of Shared Services Account architecture with VPC, subnets, and various Layanan AWS.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/malzSharedServicesAccount2.png)
VPC Layanan Bersama terdiri dari subnet AD, subnet EPS, dan subnet benteng pelanggan di tiga zona ketersediaan (). AZs Sumber daya yang dibuat dalam VPC Layanan Bersama tercantum di bawah ini dan memerlukan masukan Anda.
+ *Rentang CIDR VPC Layanan Bersama:* Saat Anda membuat VPC, Anda harus menentukan rentang alamat IPv4 untuk VPC dalam bentuk blok Classless Inter-Domain Routing (CIDR); misalnya, 10.0.1.0/24. Ini akan menjadi blok CIDR utama VPC Anda.
**catatan**
Tim AMS merekomendasikan kisaran /23.
+ *Detail Direktori Aktif*: Microsoft Active Directory (AD) digunakan untuk user/resource manajemen, autentikasi/otorisasi, dan DNS, di semua akun landing zone multi-akun AMS Anda. AMS AD juga dikonfigurasi dengan kepercayaan satu arah ke Direktori Aktif Anda untuk otentikasi berbasis kepercayaan. Input berikut diperlukan untuk membuat AD:
+ Domain Fully Qualified Domain Name (FQDN): Nama domain yang sepenuhnya memenuhi syarat untuk direktori AWS Managed Microsoft AD. Domain tidak boleh menjadi domain yang ada atau domain anak dari domain yang ada di jaringan Anda.
+ Nama Domain NetBIOS: Jika Anda tidak menentukan nama NetBIOS, AMS default nama ke bagian pertama dari DNS direktori Anda. Misalnya, corp untuk direktori DNS corp.example.com.
+ *Trend Micro — endpoint protection security (EPS)*: Trend Micro endpoint protection (EPS) adalah komponen utama dalam AMS untuk keamanan sistem operasi. Sistem ini terdiri dari Deep Security Manager (DSM), EC2 instance, EC2 instance relay, dan agen yang hadir dalam semua data plane dan instance pelanggan. EC2
Anda harus mengasumsikan akun Layanan Bersama, dan berlangganan AMI Trend Micro Deep Security (BYOL), atau Trend Micro Deep Security (Marketplace). `EPSMarketplaceSubscriptionRole`
Input default berikut diperlukan untuk membuat EPS (jika Anda ingin mengubah dari default):
+ Jenis Instance Relay: Nilai Default - m5.large
+ Jenis Instans DSM: Nilai Default - m5.xlarge
+ Ukuran Instans DB: Nilai Default - 200 GB
+ Jenis Instans RDS: Nilai Default - db.m5.large
+ *Benteng pelanggan: Anda diberikan benteng* SSH atau RDP (atau keduanya) di Akun Layanan Bersama, untuk mengakses host lain di lingkungan AMS Anda. Untuk mengakses jaringan AMS sebagai pengguna (SSH/RDP), you must use "customer" Bastions as the entry point. The network path originates from the on-premise network, goes through DX/VPNke gateway transit (TGW), dan kemudian dialihkan ke VPC Layanan Bersama. Setelah Anda dapat mengakses benteng, Anda dapat melompat ke host lain di lingkungan AMS, asalkan permintaan akses telah diberikan.
+ Input berikut diperlukan untuk bastion SSH.
+ Kapasitas Instans yang Diinginkan Bastion SSH: Nilai Default - 2.
+ Instans Maksimum SSH Bastion: Nilai Default - 4.
+ Instans Minimum Bastion SSH: Nilai Default -2.
+ SSH Bastion Instance Type: Default Value - m5.large (dapat diubah untuk menghemat biaya; misalnya t3.medium).
+ SSH Bastion Ingress CIDRs: alamat IP berkisar dari mana pengguna di jaringan Anda mengakses SSH Bastions.
+ Input berikut diperlukan untuk benteng Windows RDP.
+ Jenis Instans Bastion RDP: Nilai Default - t3.medium.
+ Sesi Minimum yang Diinginkan Benteng RDP: Nilai Default - 2.
+ Sesi Maksimum RDP: Nilai Default -10.
+ Jenis Konfigurasi Bastion RDP: Anda dapat memilih salah satu konfigurasi di bawah ini
+ SecureStandard = Seorang pengguna menerima satu benteng dan hanya satu pengguna yang dapat terhubung ke benteng.
+ SecureHa = Seorang pengguna menerima dua benteng dalam dua AZ yang berbeda untuk terhubung dan hanya satu pengguna yang dapat terhubung ke benteng.
+ SharedStandard = Seorang pengguna menerima satu benteng untuk terhubung dan dua pengguna dapat terhubung ke benteng yang sama sekaligus.
+ SharedHa = Seorang pengguna menerima dua benteng dalam dua AZ yang berbeda untuk terhubung dan dua pengguna dapat terhubung ke benteng yang sama sekaligus.
+ Customer RDP Ingress CIDRs: Rentang alamat IP dari mana pengguna di jaringan Anda akan mengakses RDP Bastions.
# Pembaruan untuk layanan bersama: Zona Pendaratan Multi-Akun
AMS menerapkan rilis pesawat data ke akun terkelola setiap bulan, tanpa pemberitahuan sebelumnya.
AMS menggunakan OU inti untuk menyediakan layanan bersama seperti akses, jaringan, EPS, penyimpanan log, agregasi peringatan di Zona Pendaratan Multi-Akun Anda. AMS bertanggung jawab untuk mengatasi kerentanan, penambalan, dan penerapan layanan bersama ini. AMS secara teratur memperbarui sumber daya yang digunakan untuk menyediakan layanan bersama ini sehingga pengguna memiliki akses ke fitur terbaru, dan pembaruan keamanan. Pembaruan biasanya terjadi setiap bulan. Sumber daya yang merupakan bagian dari pembaruan ini adalah:
+ Akun yang merupakan bagian dari inti OU.
Akun manajemen, akun layanan bersama, akun jaringan, akun keamanan, dan akun arsip log memiliki sumber daya untuk benteng RDP dan SSH, proxy, host manajemen, dan keamanan titik akhir (EPS), yang biasanya diperbarui setiap bulan. AMS menggunakan EC2 penerapan yang tidak dapat diubah sebagai bagian dari infrastruktur layanan bersama.
+ AMS baru AMIs menggabungkan pembaruan terbaru.
**catatan**
Operator AMS menggunakan tipe perubahan penekanan alarm internal (CT) saat menjalankan perubahan bidang data dan RFC untuk CT tersebut muncul di daftar RFC Anda. Ini karena, saat rilis pesawat data dikerahkan, berbagai infrastruktur dapat dimatikan, di-boot ulang, diambil offline, atau mungkin ada lonjakan CPU atau efek lain dari penyebaran yang memicu alarm yang, selama penyebaran pesawat data, bersifat asing. Setelah penyebaran selesai, semua infrastruktur diverifikasi untuk berjalan dengan baik dan alarm diaktifkan kembali.
# Akun Arsip Log
Akun Arsip Log berfungsi sebagai hub pusat untuk pengarsipan log di lingkungan landing zone multi-akun AMS Anda. Ada bucket S3 di akun yang berisi salinan file log AWS CloudTrail dan AWS Config dari masing-masing akun lingkungan landing zone multi-akun AMS. Anda dapat menggunakan akun ini untuk solusi Pencatatan Terpusat dengan AWS Firehose, atau Splunk, dan sebagainya. Akses AMS ke akun ini terbatas pada beberapa pengguna; terbatas pada auditor dan tim keamanan untuk kepatuhan dan investigasi forensik yang terkait dengan aktivitas akun.
![\[Log Archive Account diagram showing Aggregated CloudTrail Logs and Aggregated Config Logs icons.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/malzLogAccount.png)
# Akun keamanan
Akun Keamanan adalah hub pusat untuk operasi terkait keamanan perumahan dan titik utama untuk menyalurkan pemberitahuan dan peringatan ke layanan pesawat kontrol AMS. Selain itu, akun Keamanan menampung akun manajemen Amazon Guard Duty dan agregator AWS Config.
![\[Security Account diagram showing GuardDuty Master, Simple Notification System, and Config Aggregator.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/malzSecurityAccount.png)
# Jenis akun aplikasi
Akun aplikasi adalah akun AWS dalam arsitektur landing zone terkelola AMS yang Anda gunakan untuk meng-host beban kerja Anda. AMS menawarkan tiga jenis akun Aplikasi:
+ [Akun aplikasi yang dikelola AMS](application-account-ams-managed.md)
+ [AMS Mempercepat akun](malz-accelerate-account.md)
+ [Akun aplikasi yang Dikelola Pelanggan](application-account-cust-man.md)
Akun aplikasi dikelompokkan OUs dalam AWS Organizations yang berbeda tergantung pada jenis akun Application:
+ Akar OU:
1. Aplikasi OU
+ OU Terkelola: Akun yang dikelola AMS
+ Pengembangan OU: Akun yang dikelola AMS dengan mode Pengembang diaktifkan
1. Mempercepat OU: AMS Mempercepat akun Aplikasi
1. OU yang dikelola pelanggan: Akun Aplikasi yang dikelola pelanggan
Akun aplikasi disediakan melalui RFC yang dikirimkan dari akun Manajemen:
+ [Buat Akun Aplikasi Dengan VPC ct-1zdasmc2ewzrs](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-application-account-with-vpc.html)
+ Buat Accelerate Account [ct-2p93tyd5angmi](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html)
+ [Buat Akun Aplikasi yang Dikelola Pelanggan ct-3pwbixz27n3tn](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html)
# Akun aplikasi yang dikelola AMS
Akun aplikasi yang dikelola sepenuhnya oleh AMS disebut sebagai akun aplikasi yang dikelola AMS, di mana beberapa atau semua tugas operasional, seperti manajemen permintaan layanan, manajemen insiden, manajemen keamanan, manajemen kontinuitas (cadangan), manajemen patch, pengoptimalan biaya, atau pemantauan dan manajemen peristiwa infrastruktur, dilakukan oleh AMS.
Jumlah tugas yang dilakukan oleh AMS bergantung pada mode Manajemen Perubahan yang Anda pilih. Akun yang dikelola AMS mendukung berbagai mode untuk manajemen perubahan:
+ [Modus RFC](rfc-mode.md)
+ [Mode Perubahan Langsung di AMS](direct-change-mode-section.md)
+ [AMS dan AWS Service Catalog](ams-service-catalog-section.md)
+ [Mode Pengembang AMS Lanjutan](developer-mode-section.md)
+ [Mode Penyediaan Layanan Mandiri di AMS](self-service-provisioning-section.md)
Untuk informasi selengkapnya tentang manajemen perubahan dan mode yang berbeda, lihat[Ubah mode manajemen](using-change-management.md).
Ada beberapa layanan AWS yang dapat Anda gunakan di akun yang dikelola AMS tanpa manajemen AMS. Daftar layanan AWS ini dan cara menambahkannya ke akun AMS Anda dijelaskan di bagian [Penyediaan layanan mandiri](https://docs.aws.amazon.com/managedservices/latest/userguide/self-service-provisioning-section.html).
# AMS Mempercepat akun
AMS Accelerate adalah rencana operasi AMS yang dapat mengoperasikan infrastruktur AWS yang mendukung beban kerja. Anda dapat memperoleh manfaat dari layanan operasional AMS Accelerate seperti pemantauan dan peringatan, manajemen insiden, manajemen keamanan, dan manajemen cadangan, tanpa melalui migrasi baru, mengalami downtime, atau mengubah cara Anda menggunakan AWS. AMS Accelerate juga menawarkan add-on patch opsional untuk beban kerja EC2 berbasis yang memerlukan penambalan reguler.
Dengan AMS Accelerate, Anda memiliki kebebasan untuk menggunakan, mengonfigurasi, dan menerapkan semua layanan AWS secara native, atau dengan alat pilihan Anda. Anda akan menggunakan mekanisme akses dan perubahan pilihan Anda sementara AMS secara konsisten menerapkan praktik terbukti yang membantu meningkatkan skala tim Anda, mengoptimalkan biaya, meningkatkan keamanan dan efisiensi, dan meningkatkan ketahanan.
**catatan**
Akun AMS Accelerate di AMS Advanced tidak memiliki AMS change management (RFCs) atau konsol AMS Advanced. Sebaliknya, mereka memiliki konsol dan fungsionalitas AMS Accelerate.
Accelerate account hanya dapat disediakan dari akun Manajemen landing zone multi-akun AMS Anda. Accelerate menawarkan kemampuan operasional yang berbeda. Untuk mempelajari lebih lanjut, lihat [deskripsi layanan Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html).
+ Anda akan terus menikmati beberapa fitur dari akun inti multi-account landing zone (MALZ) seperti logging terpusat, penagihan tunggal, Config Aggregator di akun keamanan dan. SCPs
+ AMS Accelerate tidak menyediakan beberapa layanan AMS Advanced seperti EPS, Manajemen akses, manajemen perubahan, dan penyediaan. Kami menyarankan Anda mengikuti langkah-langkah selanjutnya untuk mendapatkan akses dan mengkonfigurasi gateway transit (TGW).
Untuk detail selengkapnya tentang Accelerate, lihat [Apa itu Mempercepat](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/what-is-acc.html).
## Membuat akun Accelerate Anda
Untuk membuat akun Accelerate, ikuti langkah-langkah yang diuraikan di sini [Buat akun Accelerate](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html#deployment-managed-management-account-create-accelerate-account-info).
## Mengakses akun Accelerate Anda
Setelah Anda menyediakan akun Accelerate di akun multi-account landing zone (MALZ) Anda, peran dengan izin [akses Administratif](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator)`AccelerateDefaultAdminRole`, ada di akun yang dapat Anda asumsikan.
Untuk mengakses akun Accelerate baru:
1. Masuk ke konsol IAM untuk akun manajemen dengan `CustomerDefaultAssumeRole` peran tersebut.
1. Di konsol IAM, pada bilah navigasi, pilih nama pengguna Anda.
1. Pilih **Ganti Peran**. Jika ini pertama kalinya Anda memilih opsi ini, akan muncul halaman dengan informasi lebih lanjut. Setelah itu, pilih **Ganti Peran**. Jika Anda menghapus cookie peramban Anda, halaman ini dapat muncul lagi.
1. Pada halaman **Beralih Peran**, ketik Accelerate account ID dan nama peran yang akan diambil:`AccelerateDefaultAdminRole`.
Sekarang setelah Anda memiliki akses, Anda dapat membuat Peran IAM baru untuk terus mengakses lingkungan Anda. Jika Anda ingin memanfaatkan SAFL Federation untuk akun Accelerate, lihat [Mengaktifkan pengguna federasi SALL 2.0 untuk mengakses AWS Management Console](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html).
## Menghubungkan akun Accelerate Anda dengan Transit Gateway
AMS tidak mengelola pengaturan jaringan akun Accelerate. Anda memiliki opsi untuk mengelola jaringan Anda sendiri menggunakan AWS APIs (lihat [Solusi Jaringan](https://aws.amazon.com/solutionspace/networking/)) atau menghubungkan ke jaringan MALZ yang dikelola oleh AMS, menggunakan Transit Gateway (TGW) yang ada yang digunakan di AMS MALZ.
**catatan**
Anda hanya dapat memiliki VPC yang dilampirkan ke TGW jika akun Accelerate berada di Wilayah AWS yang sama. Untuk informasi lebih lanjut, lihat [Transit gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html).
Untuk menambahkan akun Accelerate ke Transit Gateway, minta rute baru menggunakan jenis perubahan [Deployment \$1 Managed landing zone \$1 Networking account \$1 Add static route](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59), sertakan informasi ini:
+ **Blackhole**: Benar untuk menunjukkan bahwa target rute tidak tersedia. Lakukan ini ketika lalu lintas untuk rute statis akan dijatuhkan oleh Transit Gateway. Salah untuk merutekan lalu lintas ke ID lampiran TGW yang ditentukan. Nilai default adalah false.
+ **DestinationCidrBlock**: Rentang IPV4 CIDR yang digunakan untuk pertandingan tujuan. Keputusan routing didasarkan pada kecocokan yang paling spesifik. Contoh: 10.0.2.0/24.
+ **TransitGatewayAttachmentId**: ID Lampiran TGW yang akan berfungsi sebagai target tabel rute. Jika **Blackhole** salah, parameter ini diperlukan, jika tidak biarkan parameter ini kosong. Contoh: tgw-attach-04eb40d1e14ec7272.
+ **TransitGatewayRouteTableId**: ID dari tabel rute TGW. Contoh: tgw-rtb-06ddc751c0c0c881c.
Buat rute di tabel rute TGW untuk terhubung ke VPC ini:
1. Secara default VPC ini tidak akan dapat berkomunikasi dengan yang lain VPCs di jaringan MALZ Anda.
1. Putuskan dengan arsitek solusi Anda apa yang VPCs Anda inginkan untuk berkomunikasi dengan VPC Accelerate ini.
1. Kirim [Deployment \$1 Managed landing zone \$1 Akun jaringan \$1 Tambahkan rute statis](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) jenis perubahan, sertakan informasi ini:
+ **Blackhole**: Benar untuk menunjukkan bahwa target rute tidak tersedia. Lakukan ini ketika lalu lintas untuk rute statis akan dijatuhkan oleh Transit Gateway. Salah untuk merutekan lalu lintas ke ID lampiran TGW yang ditentukan. Nilai default adalah false.
+ **DestinationCidrBlock**: Rentang IPV4 CIDR yang digunakan untuk pertandingan tujuan. Keputusan routing didasarkan pada kecocokan yang paling spesifik. Contoh: 10.0.2.0/24.
+ **TransitGatewayAttachmentId**: ID Lampiran TGW yang akan berfungsi sebagai target tabel rute. Jika **Blackhole** salah, parameter ini diperlukan, jika tidak biarkan parameter ini kosong. Contoh: tgw-attach-04eb40d1e14ec7272.
+ **TransitGatewayRouteTableId**: ID dari tabel rute TGW. Contoh: tgw-rtb-06ddc751c0c0c881c.
**Menghubungkan VPC Accelerate account baru ke jaringan AMS Multi-Account Landing Zone (membuat lampiran VPC TGW**):
1. Di akun jaringan landing zone multi-akun Anda, buka konsol [Amazon VPC](https://console.aws.amazon.com/vpc/).
1. Pada panel navigasi, pilih **Transit Gateways**. Catat ID TGW dari gateway transit yang Anda lihat.
1. Di akun Accelerate Anda, buka [konsol VPC Amazon](https://console.aws.amazon.com/vpc/).
1. Di panel navigasi, pilih Lampiran **Transit Gateway > Buat Lampiran** **Gateway Transit**. Buat pilihan ini:
+ Untuk **ID Transit Gateway**, pilih ID gateway transit yang Anda rekam di Langkah 2.
+ Untuk **jenis Lampiran**, pilih **VPC**.
+ Di bawah **Lampiran VPC**, secara opsional ketik nama untuk tag nama **Lampiran**.
+ Pilih apakah akan mengaktifkan **Dukungan dan **IPv6 Dukungan** DNS**.
+ Untuk **ID VPC**, pilih VPC yang dilampirkan pada transit gateway. VPC ini harus memiliki setidaknya satu subnet yang terkait dengannya.
+ Untuk **Subnet IDs**, pilih satu subnet untuk setiap Availability Zone yang akan digunakan oleh gateway transit untuk merutekan lalu lintas. Anda harus memilih setidaknya satu subnet. Anda hanya dapat memilih satu subnet per Availability Zone.
1. Pilih **Buat lampiran**. Catat ID Lampiran TGW yang baru dibuat.
**Mengaitkan lampiran TGW ke tabel rute**:
1. Tentukan tabel rute TGW mana yang ingin Anda kaitkan dengan VPC. Sebaiknya buat tabel rute aplikasi baru untuk Accelerate account VPCs menggunakan Deployment \$1 Managed landing zone \$1 Akun jaringan \$1 Buat tabel rute gateway transit (ct-3dscwaeyi6cup) mengubah jenis.
1. Kirim [Manajemen \$1 Managed landing zone \$1 Akun jaringan \$1 Associate TGW attachment](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-networking-account-associate-tgw-attachment.html) (ct-3nmhh0qr338q6) RFC pada akun Networking untuk mengaitkan lampiran VPC atau TGW ke tabel rute yang Anda pilih.
**Buat rute di tabel rute TGW untuk terhubung ke VPC** ini:
1. Secara default, VPC ini tidak akan dapat berkomunikasi dengan yang lain VPCs di jaringan landing zone multi-akun Anda.
1. Putuskan dengan arsitek solusi Anda apa yang VPCs Anda inginkan untuk berkomunikasi dengan VPC akun Accelerate ini.
1. Kirim [Deployment \$1 Managed landing zone \$1 Akun jaringan \$1 Tambahkan rute statis](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) RFC terhadap akun jaringan untuk membuat rute TGW yang Anda butuhkan.
**Mengonfigurasi tabel Rute VPC Anda untuk menunjuk ke gateway transit landing zone multi-akun AMS**:
1. Tentukan dengan arsitek solusi Anda lalu lintas apa yang ingin Anda kirim ke gateway transit Zona Pendaratan Multi-Akun AMS.
1. Kirim [Deployment \$1 Managed landing zone \$1 Akun jaringan \$1 Tambahkan rute statis](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) RFC terhadap akun jaringan untuk membuat rute TGW yang Anda butuhkan.
# Akun aplikasi yang Dikelola Pelanggan
Anda dapat membuat akun yang tidak dikelola AMS dengan cara standar. Akun tersebut disebut akun yang dikelola pelanggan dan mereka memberi Anda kontrol penuh untuk mengoperasikan sendiri infrastruktur di dalam akun sambil menikmati manfaat arsitektur terpusat yang dikelola oleh AMS.
Akun yang Dikelola Pelanggan tidak memiliki akses ke konsol AMS atau layanan apa pun yang kami sediakan (tambalan, cadangan, dan sebagainya).
Akun yang Dikelola Pelanggan hanya dapat disediakan dari akun manajemen landing zone multi-akun AMS Anda.
Mode AMS yang berbeda bekerja dengan akun Aplikasi secara berbeda; untuk mempelajari lebih lanjut tentang mode, lihat [mode AWS Managed Services](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/ams-modes.html).
Untuk membuat akun aplikasi yang Dikelola Pelanggan, lihat Akun [manajemen \$1 Membuat Akun Aplikasi yang Dikelola Pelanggan](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html).
Untuk menghapus akun aplikasi yang Dikelola Pelanggan, gunakan [akun Manajemen \$1 Akun Aplikasi Offboard](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html). (CT [Confirm Offboarding](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-application-account-confirm-offboarding.html) tidak berlaku untuk akun aplikasi yang Dikelola Pelanggan.)
# Mengakses akun yang Dikelola Pelanggan
Setelah Anda menyediakan akun Terkelola Pelanggan (CMA) di landing zone multi-akun, (MALZ) peran Admin,`CustomerDefaultAdminRole`, ada di akun yang dapat Anda asumsikan, melalui federasi SAFL, untuk mengonfigurasi akun.
Untuk mengakses CMA:
1. Masuk ke konsol IAM untuk akun manajemen dengan **CustomerDefaultAssumeRole**peran tersebut.
1. Di konsol IAM, pada bilah navigasi, pilih nama pengguna Anda.
1. Pilih **Ganti Peran**. Jika ini pertama kalinya Anda memilih opsi ini, akan muncul halaman dengan informasi lebih lanjut. Setelah itu, pilih **Ganti Peran**. Jika Anda menghapus cookie peramban Anda, halaman ini dapat muncul lagi.
1. Pada halaman **Beralih Peran**, ketik ID akun yang Dikelola Pelanggan dan nama peran yang akan diambil: **CustomerDefaultAdminRole**.
Sekarang setelah Anda memiliki akses, Anda dapat membuat Peran IAM baru untuk terus mengakses lingkungan Anda. Jika Anda ingin memanfaatkan Federasi SAM untuk Akun CMA Anda, lihat [Mengaktifkan pengguna federasi SALL 2.0 untuk mengakses](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) AWS Management Console.
# Menghubungkan CMA Anda dengan Transit Gateway
AMS tidak mengelola pengaturan jaringan akun yang Dikelola Pelanggan (CMAs). Anda memiliki opsi untuk mengelola jaringan Anda sendiri menggunakan AWS APIs (lihat [Solusi Jaringan](https://aws.amazon.com/solutionspace/networking/)) atau menghubungkan ke jaringan landing zone multi-akun yang dikelola oleh AMS, menggunakan Transit Gateway (TGW) yang ada yang digunakan di AMS MALZ.
**catatan**
Anda hanya dapat memiliki VPC yang dilampirkan ke TGW jika CMA berada di Wilayah AWS yang sama. Untuk informasi lebih lanjut, lihat [Transit gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html).
Untuk menambahkan CMA Anda ke Transit Gateway, minta rute baru dengan [akun Jaringan \$1 Tambahkan rute statis (ct-3r2ckznmt0a59](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html)) jenis perubahan dan sertakan informasi ini:
+ **Blackhole**: Benar untuk menunjukkan bahwa target rute tidak tersedia. Lakukan ini ketika lalu lintas untuk rute statis akan dijatuhkan oleh Transit Gateway. Salah untuk merutekan lalu lintas ke ID lampiran TGW yang ditentukan. Nilai default adalah false.
+ **DestinationCidrBlock**: Rentang IPV4 CIDR yang digunakan untuk pertandingan tujuan. Keputusan routing didasarkan pada kecocokan yang paling spesifik. Contoh: `10.0.2.0/24`.
+ **TransitGatewayAttachmentId**: ID Lampiran TGW yang akan berfungsi sebagai target tabel rute. Jika **Blackhole** salah, parameter ini diperlukan, jika tidak biarkan parameter ini kosong. Contoh: `tgw-attach-04eb40d1e14ec7272`.
+ **TransitGatewayRouteTableId**: ID dari tabel rute TGW. Contoh: `tgw-rtb-06ddc751c0c0c881c`.
**Menghubungkan VPC baru yang dikelola pelanggan ke jaringan Zona Pendaratan Multi-Akun AMS (membuat lampiran VPC TGW**):
1. Di akun jaringan landing zone multi-akun Anda, buka konsol [Amazon VPC](https://console.aws.amazon.com/vpc/).
1. Di panel navigasi, pilih **Transit Gateways**. Catat ID TGW dari gateway transit yang Anda lihat.
1. Di akun yang Dikelola Pelanggan, buka [konsol VPC Amazon](https://console.aws.amazon.com/vpc/).
1. Di panel navigasi, pilih Lampiran **Transit Gateway > Buat Lampiran** **Gateway Transit**. Buat pilihan ini:
1. Untuk **ID Transit Gateway**, pilih ID gateway transit yang Anda rekam di Langkah 2.
1. Untuk **jenis Lampiran**, pilih **VPC**.
1. Di bawah **Lampiran VPC**, secara opsional ketik nama untuk tag nama **Lampiran**.
1. Pilih apakah akan mengaktifkan **DNS Support and **IPv6 Support****.
1. Untuk **ID VPC**, pilih VPC yang dilampirkan pada transit gateway. VPC ini harus memiliki setidaknya satu subnet yang terkait dengannya.
1. Untuk **Subnet IDs**, pilih satu subnet untuk setiap Availability Zone yang akan digunakan oleh gateway transit untuk merutekan lalu lintas. Anda harus memilih setidaknya satu subnet. Anda hanya dapat memilih satu subnet per Availability Zone.
1. Pilih **Buat lampiran**. Catat ID Lampiran TGW yang baru dibuat.
**Mengaitkan lampiran TGW ke tabel rute**:
Tentukan tabel rute TGW mana yang ingin Anda kaitkan dengan VPC. Sebaiknya buat tabel rute aplikasi baru untuk Pelanggan Dikelola VPCs dengan mengirimkan Deployment \$1 Managed landing zone \$1 Akun jaringan \$1 Buat tabel rute gateway transit (ct-3dscwaeyi6cup) RFC. Untuk mengaitkan lampiran VPC atau TGW ke tabel rute yang Anda pilih, kirimkan Deployment \$1 Managed landing zone \$1 Akun jaringan \$1 Associate TGW attachment (ct-3nmhh0qr338q6) RFC di akun Networking.
**Buat rute di tabel rute TGW untuk terhubung ke VPC** ini:
1. Secara default, VPC ini tidak akan dapat berkomunikasi dengan yang lain VPCs di jaringan Zona Pendaratan Multi-Akun Anda.
1. Putuskan dengan arsitek solusi Anda apa yang VPCs Anda inginkan untuk berkomunikasi dengan VPC yang dikelola pelanggan ini. Kirim Deployment \$1 Managed landing zone \$1 Akun jaringan \$1 Tambahkan rute statis (ct-3r2ckznmt0a59) RFC terhadap akun jaringan untuk membuat rute TGW yang Anda butuhkan.
**catatan**
CT (ct-3r2ckznmt0a59) ini tidak mengizinkan penambahan rute statis ke tabel rute inti EgressRouteDomain; jika CMA Anda perlu mengizinkan lalu lintas jalan keluar, kirimkan Manajemen \$1 Lainnya \$1 Lainnya (MOO) RFC dengan ct-0xdawir96cy7k.
**Mengonfigurasi tabel Rute VPC Anda untuk menunjuk ke gateway transit Zona Pendaratan Multi-Akun AMS**:
Tentukan dengan arsitek solusi Anda lalu lintas apa yang ingin Anda kirim ke gateway transit Zona Pendaratan Multi-Akun AMS. Perbarui tabel rute VPC Anda untuk mengirim lalu lintas ke lampiran TGW yang dibuat sebelumnya
# Mendapatkan bantuan operasional dengan akun yang Dikelola Pelanggan
AMS dapat membantu Anda mengoperasikan beban kerja yang Anda gunakan di akun yang Dikelola Pelanggan dengan memasukkan akun ke AMS Accelerate. Dengan AMS Accelerate, Anda dapat memperoleh manfaat dari layanan operasional seperti pemantauan dan peringatan, manajemen insiden, manajemen keamanan, dan manajemen cadangan, tanpa melalui migrasi baru, mengalami downtime, atau mengubah cara Anda menggunakan. AWS AMS Accelerate juga menawarkan add-on patch opsional untuk beban kerja EC2 berbasis yang memerlukan penambalan reguler. Dengan AMS Accelerate, Anda terus menggunakan, mengonfigurasi, dan menerapkan semua AWS layanan secara native, atau dengan alat pilihan Anda; seperti yang Anda lakukan dengan akun AMS Advanced Customer Managed. Anda menggunakan mekanisme akses dan perubahan pilihan Anda sementara AMS menerapkan praktik terbukti yang membantu meningkatkan skala tim Anda, mengoptimalkan biaya, meningkatkan keamanan dan efisiensi, dan meningkatkan ketahanan. Untuk mempelajari lebih lanjut, lihat [deskripsi layanan Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html).
Untuk memasukkan akun Terkelola Pelanggan Anda ke Accelerate, hubungi CSDM Anda dan ikuti langkah-langkah dari [Memulai dengan](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/getting-started-acc.html) AMS Accelerate.
**catatan**
Akun AMS Accelerate di AMS Advanced tidak memiliki manajemen perubahan AMS (permintaan untuk perubahan atau RFCs) atau konsol AMS Advanced. Sebaliknya, mereka memiliki konsol dan fungsionalitas AMS Accelerate.
# Akun AMS Tools (memigrasikan beban kerja)
Akun alat Zona Pendaratan Multi-Akun Anda (dengan VPC) membantu mempercepat upaya migrasi, meningkatkan posisi keamanan Anda, mengurangi biaya dan kompleksitas, dan menstandarisasi pola penggunaan Anda.
Akun alat menyediakan yang berikut:
+ Batas yang terdefinisi dengan baik untuk akses ke instance replikasi untuk integrator sistem di luar beban kerja produksi Anda.
+ Memungkinkan Anda membuat ruang terisolasi untuk memeriksa beban kerja untuk malware, atau rute jaringan yang tidak dikenal, sebelum menempatkannya ke akun dengan beban kerja lainnya.
+ Sebagai pengaturan akun yang ditentukan, ini menyediakan waktu yang lebih cepat untuk onboard dan menyiapkan untuk memigrasi beban kerja.
+ Rute jaringan terisolasi untuk mengamankan lalu lintas dari on-premise -> -> Tools account CloudEndure -> AMS menelan gambar. Setelah gambar tertelan, Anda dapat membagikan gambar ke akun tujuan melalui Manajemen AMS \$1 Komponen tumpukan lanjutan \$1 AMI \$1 Bagikan (ct-1eiczxw8ihc18) RFC.
Diagram arsitektur tingkat tinggi:
![\[Akun AWS structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/high-level-diagram_v1.png)
Gunakan Deployment \$1 Managed landing zone \$1 Akun manajemen \$1 Buat akun alat (dengan VPC) jenis perubahan (ct-2j7q1hgf26x5c), untuk dengan cepat menyebarkan akun alat dan membuat instance proses Penyerapan Beban Kerja dalam lingkungan Zona Pendaratan Multi-Akun. Lihat [Akun manajemen, Akun alat: Membuat (dengan VPC](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-malz-master-acct-create-tools-acct-col.html)).
**catatan**
Kami merekomendasikan memiliki dua zona ketersediaan (AZs), karena ini adalah hub migrasi.
Secara default, AMS membuat dua grup keamanan berikut (SGs) di setiap akun. Konfirmasikan bahwa SGs keduanya hadir. Jika mereka tidak hadir, silakan buka permintaan layanan baru dengan tim AMS untuk memintanya.
SentinelDefaultSecurityGroupPrivateOnlyEgressAll
InitialGarden-SentinelDefaultSecurityGroupPrivateOnly
Pastikan bahwa instance CloudEndure replikasi dibuat di subnet pribadi di mana ada rute kembali ke on-premise. Anda dapat mengonfirmasi bahwa dengan memastikan bahwa tabel rute untuk subnet pribadi memiliki rute default kembali ke TGW. Namun, melakukan pemotongan CloudEndure mesin harus masuk ke subnet pribadi “terisolasi” di mana tidak ada rute kembali ke on-premise, hanya lalu lintas keluar Internet yang diizinkan. Sangat penting untuk memastikan cutover terjadi di subnet yang terisolasi untuk menghindari potensi masalah pada sumber daya di lokasi.
Prasyarat:
1. Baik tingkat dukungan **Plus** atau **Premium**.
1. Akun aplikasi IDs untuk kunci KMS tempat AMIs dikerahkan.
1. Akun alat, dibuat seperti yang dijelaskan sebelumnya.
# AWS Layanan Migrasi Aplikasi (AWS MGN)
[AWS Layanan Migrasi Aplikasi](https://aws.amazon.com/application-migration-service/) (AWS MGN) dapat digunakan di akun MALZ Tools Anda melalui peran `AWSManagedServicesMigrationRole` IAM yang dibuat secara otomatis selama penyediaan akun Tools. [Anda dapat menggunakan AWS MGN untuk memigrasikan aplikasi dan database yang berjalan pada versi sistem operasi Windows dan Linux yang didukung.](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)
Untuk up-to-date informasi paling banyak tentang Wilayah AWS dukungan, lihat [Daftar Layanan AWS Regional](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Jika pilihan Anda saat Wilayah AWS ini tidak didukung oleh AWS MGN, atau sistem operasi tempat aplikasi Anda berjalan saat ini tidak didukung oleh AWS MGN, pertimbangkan untuk menggunakan akun [CloudEndure Migrasi](https://console.cloudendure.com/#/register/register) di Alat Anda.
**Meminta Inisialisasi AWS MGN**
AWS MGN harus [diinisialisasi](https://docs.aws.amazon.com/mgn/latest/ug/mandatory-setup.html) oleh AMS sebelum digunakan pertama kali. Untuk meminta ini untuk akun Tools baru, kirimkan Manajemen \$1 Lainnya \$1 RFC lain dari akun Tools dengan rincian berikut:
```
RFC Subject=Please initialize AWS MGN in this account
RFC Comment=Please click 'Get started' on the MGN welcome page here:
[ https://console.aws.amazon.com/mgn/home?region=*MALZ\$1PRIMARY\$1REGION*\$1/welcome](https://console.aws.amazon.com/mgn/home?region=AP-SOUTHEAST-2#/welcome) using all default values
to 'Create template' and complete the initialization process.
```
Setelah AMS berhasil menyelesaikan RFC dan menginisialisasi AWS MGN di akun Tools Anda, Anda dapat menggunakannya `AWSManagedServicesMigrationRole` untuk mengedit template default untuk kebutuhan Anda.
![\[AWS MGN, Setup layanan migrasi aplikasi.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/aws_mgn_firstrun.png)
# Aktifkan akses ke akun AMS Tools baru
Setelah akun alat dibuat, AMS memberi Anda ID akun. Langkah Anda selanjutnya adalah mengonfigurasi akses ke akun baru. Ikuti langkah-langkah ini.
1. Perbarui grup Direktori Aktif yang sesuai ke akun yang sesuai IDs.
Akun baru yang dibuat AMS disediakan dengan kebijakan ReadOnly peran serta peran untuk memungkinkan pengguna mengajukan. RFCs
Akun Tools juga memiliki peran IAM tambahan dan pengguna yang tersedia:
+ IAM role: `AWSManagedServicesMigrationRole`
+ Pengguna IAM: `customer_cloud_endure_user`
1. Minta kebijakan dan peran untuk memungkinkan anggota tim integrasi layanan menyiapkan alat tingkat berikutnya.
Arahkan ke konsol AMS dan ajukan yang berikut ini RFCs:
1. Buat kunci KMS. Gunakan [Create KMS Key (auto)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-auto-col.html) atau [Create KMS Key (review required](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-rr-col.html)).
Saat Anda menggunakan KMS untuk mengenkripsi sumber daya yang tertelan, menggunakan satu kunci KMS yang dibagikan dengan akun aplikasi Zona Pendaratan Multi-Akun lainnya, memberikan keamanan untuk gambar yang dicerna di mana mereka dapat didekripsi di akun tujuan.
1. Bagikan kunci KMS.
Gunakan Manajemen \$1 Komponen tumpukan lanjutan \$1 Kunci KMS \$1 Bagikan (perlu ditinjau) jenis perubahan (ct-05yb337abq3x5) untuk meminta agar kunci KMS baru dibagikan dengan akun aplikasi Anda di mana tertelan akan berada. AMIs
Contoh grafik pengaturan akun akhir:
![\[AWS architecture diagram showing Migration VPC, IAM, and Permissions with various components and connections.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/WIGS_Account_ExpandedV1.png)
# Contoh kebijakan IAM yang telah disetujui AMS CloudEndure
Untuk melihat CloudEndure kebijakan IAM AMS yang telah disetujui sebelumnya: Buka paket file [Contoh Zona Pendaratan Cloud Endure WIGS](samples/wigs-ce-lz-examples.zip) dan buka file. `customer_cloud_endure_policy.json`
# Menguji konektivitas dan end-to-end penyiapan akun AMS Tools
1. Mulailah dengan mengkonfigurasi CloudEndure dan menginstal CloudEndure agen di server yang akan mereplikasi ke AMS.
1. Buat proyek di CloudEndure.
1. Masukkan AWS kredensi yang dibagikan saat Anda melakukan prasyarat, meskipun manajer rahasia.
1. Dalam **pengaturan Replikasi**:
1. Pilih kedua grup keamanan AMS “Sentinel” (Hanya Pribadi dan EgressAll) untuk **Pilih Grup Keamanan untuk diterapkan ke opsi Server Replikasi.**
1. Tentukan opsi cutover untuk mesin (instance). Untuk informasi lebih lanjut, lihat [Langkah 5. Potong](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-factory-cloudendure/step5.html)
1. **Subnet**: Subnet pribadi.
1. **Grup Keamanan**:
1. Pilih kedua grup keamanan AMS “Sentinel” (Hanya Pribadi dan EgressAll).
1. Instans cutover harus berkomunikasi ke Active Directory (MAD) yang dikelola AMS dan ke titik akhir publik: AWS
1. **IP elastis**: Tidak ada
1. **IP Publik**: tidak
1. **Peran IAM**: customer-mc-ec 2-instance-profile
1. Tetapkan tag sesuai konvensi penandaan internal Anda.
1. Instal CloudEndure agen di mesin dan cari contoh replikasi yang muncul di akun AMS Anda di EC2 konsol.
Proses konsumsi AMS:
![\[Flowchart showing AMS ingestion process steps from customer instance to application deployment.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/Ingestion_Process_v1.png)
# Kebersihan akun AMS Tools
Anda akan ingin membersihkan setelah Anda selesai di akun telah membagikan AMI dan tidak lagi membutuhkan instance yang direplikasi:
+ Posting WIGs konsumsi contoh:
+ Instans cutover: Minimal, hentikan atau hentikan instance ini, setelah pekerjaan selesai, melalui konsol AWS
+ Pencadangan AMI Pra-Penyerapan: Hapus setelah instance tertelan dan instance di lokasi dihentikan
+ Instans yang dicerna AMS: Matikan tumpukan atau hentikan setelah AMI dibagikan
+ AMS-ingested AMIs: Hapus setelah berbagi dengan akun tujuan selesai
+ Pembersihan akhir migrasi: Dokumentasikan sumber daya yang digunakan melalui mode Pengembang untuk memastikan pembersihan terjadi secara teratur, misalnya:
+ Grup keamanan
+ Sumber daya yang dibuat melalui Formasi Cloud
+ Jaringan ACK
+ Subnet
+ VPC
+ Tabel Rute
+ Peran
+ Pengguna dan akun
# Migrasi dalam skala - Pabrik Migrasi
Lihat [Memperkenalkan Solusi Pabrik CloudEndure Migrasi AWS](https://aws.amazon.com/about-aws/whats-new/2020/06/introducing-aws-cloudendure-migration-factory-solution/).