As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Etapa 2. Recursos de gerenciamento de integração no Accelerate
Esta é uma visão geral do processo de integração de recursos de gerenciamento.
**Você aceita os termos**
Seu gerente de entrega de serviços em nuvem (CSDM) orienta você no processo de aceitação. Você precisa aceitar os Termos e Condições, selecionar Regiões da AWS, complementos e um Acordo de Nível de Serviço (SLA).
**Você concede permissões às funções do AMS**
Você precisa conceder acesso aos processos do AMS e ao seu Cloud Architect. Você faz isso criando uma CloudFormation pilha para cada função. Veja [O modelo para criar funções do AMS](acc-onb-roles.md) e depois[Crie `aws_managedservices_onboarding_role` com o CloudFormation for Accelerate](acc-onb-create-roles-with-cf.md). Para obter mais detalhes, consulte [Gerenciamento de acesso no AMS Accelerate](acc-access.md).
**O AMS revisa sua configuração**
Seu Cloud Architect (CA) também procura possíveis problemas de configuração em sua conta, como políticas de controle de serviços (SCPs) e descobertas de segurança que possam impedir o AMS de implantar as ferramentas e os recursos exigidos pelo AMS. Sua CA trabalha com você para ajudá-lo a corrigir descobertas e remover quaisquer obstáculos à implantação de ferramentas e recursos do AMS.
**O AMS analisa suas configurações de AWS CloudTrail trilhas**
Seu Cloud Architect (CA) analisará as configurações da CloudTrail trilha e confirmará se você deseja que o AMS implante uma CloudTrail trilha global ou integre o Accelerate aos recursos da sua CloudTrail conta ou da organização. Se você optar por integrar o Accelerate à sua CloudTrail trilha, seu CA o guiará nas atualizações necessárias nas configurações dos recursos da CloudTrail trilha.
**O AMS implanta recursos de gerenciamento**
A equipe do AMS implanta ferramentas e AWS recursos para fornecer os diferentes serviços do AMS Accelerate. Depois de concluído, o AMS criou a conta do AWS Managed Services e o AMS notifica você de que sua conta está ativa.
Isso conclui a etapa de *recursos de gerenciamento de integração*. Você pode prosseguir diretamente para a próxima etapa do processo de integração:[Etapa 3. Integração de recursos do AMS com políticas padrão](acc-get-feature-config.md).
**nota**
Agora que sua conta está ativa, você tem a opção de realizar qualquer uma dessas tarefas:
Crie incidentes e solicitações de serviço para AWS infraestrutura usando o Support Center Console. Consulte [Relatórios de incidentes, solicitações de serviço e perguntas sobre faturamento no AMS Accelerate](acc-supp-ex.md).
Veja o status de conformidade em sua conta das AWS Config regras implantadas pelo AMS,. [Conformidade de configuração no Accelerate](acc-sec-compliance.md)
Localize GuardDuty e analise as descobertas do Macie (opcional). Consulte [Monitor com GuardDuty](acc-sec-data-protect.md#acc-sec-data-protect-gd).
Registros de acesso e CloudTrail auditoria
Acompanhe as alterações em sua conta do AMS Accelerate. Consulte [Rastreando alterações em suas contas do AMS Accelerate](acc-change-record.md).
Use o Resource Tagger para criar tags. Consulte [Acelere o marcador de recursos](acc-resource-tagger.md).
Solicite patches, backup e AWS Config relatórios. Consulte [Relatórios e opções](ams-reporting.md).
# Revise e atualize suas configurações para permitir que o AMS Accelerate use sua trilha CloudTrail
O AMS Accelerate depende do AWS CloudTrail registro para gerenciar as auditorias e a conformidade de todos os recursos da sua conta. Durante a integração, você escolhe se o Accelerate implanta uma CloudTrail trilha na sua AWS região principal ou usa eventos gerados pela sua CloudTrail conta existente ou pela trilha da organização. Se sua conta não tiver uma trilha configurada, o Accelerate implantará uma CloudTrail trilha gerenciada durante a integração.
**Importante**
CloudTrail A configuração do gerenciamento de registros só é necessária quando você opta por integrar o AMS Accelerate à sua CloudTrail conta ou trilha da organização.
## Revise suas configurações de CloudTrail trilhas, a política de bucket do Amazon S3 AWS KMS e a política principal para o destino de entrega de CloudTrail seus eventos com seu Cloud Architect (CA)
Antes que o Accelerate possa usar sua CloudTrail trilha, você deve trabalhar com seu Cloud Architect (CA) para revisar e atualizar suas configurações para atender aos requisitos do Accelerate. Se você optar por integrar o Accelerate à trilha CloudTrail da sua organização, sua CA trabalhará com você para atualizar o bucket Amazon S3 de destino de entrega de CloudTrail eventos e as AWS KMS principais políticas para permitir consultas entre contas a partir de sua conta do Accelerate. Seu bucket do Amazon S3 pode estar em uma conta gerenciada pelo Accelerate ou em uma conta que você gerencia. Durante a integração, o Accelerate valida se as consultas podem ser feitas no destino de entrega dos eventos de trilha CloudTrail da sua organização e pausa a integração se as consultas falharem. Você trabalha com sua CA para corrigir essas configurações para que a integração possa ser retomada.
### Revise e atualize as configurações CloudTrail da sua conta ou trilha da organização
As configurações a seguir são necessárias para integrar o gerenciamento de registros do CloudTrail Accelerate à sua CloudTrail conta ou aos recursos da trilha da organização:
+ Sua CloudTrail trilha está configurada para registrar eventos de todos Regiões da AWS.
+ Sua CloudTrail trilha tem [eventos de serviço global](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html#cloudtrail-concepts-global-service-events) ativados.
+ A trilha da sua CloudTrail conta ou organização registra todos os [eventos de gerenciamento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events), incluindo [eventos de leitura e gravação](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#read-write-events-mgmt), AWS KMS e o registro de eventos da API de dados do Amazon RDS está ativado.
+ Sua CloudTrail trilha tem a [validação da integridade do arquivo de log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html) ativada.
+ [O bucket do Amazon S3, sua CloudTrail trilha, entrega eventos para criptografar eventos usando a criptografia SSE-S3 ou [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)
+ O bucket do Amazon S3 para o qual sua CloudTrail trilha entrega o evento tem o [registro de acesso ao servidor ativado](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html).
+ O bucket do Amazon S3 para o qual sua CloudTrail trilha entrega o evento tem uma [configuração de ciclo](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) de vida que retém seus dados de CloudTrail trilha por pelo menos 18 meses.
+ O bucket do Amazon S3 para o qual sua CloudTrail trilha entrega o evento tem a [propriedade do objeto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) definida como proprietária do bucket aplicada.
+ O bucket do Amazon S3 para o qual sua CloudTrail trilha entrega o evento pode ser acessado pelo Accelerate.
#### Revise e atualize a política de bucket do Amazon S3 para seu destino de entrega de CloudTrail eventos
Durante a integração, você trabalha com seu Cloud Architect (CA) para adicionar declarações de política de bucket do Amazon S3 ao CloudTrail seu destino de entrega de eventos. Para permitir que seus usuários consultem alterações no bucket Amazon S3 de destino de entrega de CloudTrail eventos a partir da sua conta do Accelerate, você pode implantar uma função do IAM nomeada uniformemente em cada conta gerenciada pelo Accelerate em sua organização e adicioná-la à `aws:PrincipalArn` lista em todas as declarações de política do bucket do Amazon S3. Com essa configuração, seus usuários podem consultar e analisar os eventos de trilha da CloudTrail organização da sua conta no Accelerate usando o Athena. Para obter mais informações sobre como atualizar uma política de bucket do Amazon S3, consulte [Adicionar uma política de bucket usando o console do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) no Guia do usuário do *Amazon Simple Storage Service*.
**Importante**
A atualização da sua política de bucket do Amazon S3 é necessária somente quando o Accelerate se integra a uma CloudTrail trilha que entrega eventos a um bucket S3 centralizado. O Accelerate não oferece suporte à integração com uma CloudTrail trilha que entrega em um bucket centralizado, mas não tem as contas em uma AWS organização.
**nota**
Antes de atualizar sua política de bucket do Amazon S3, substitua *red* os campos por valores aplicáveis:
*amzn-s3-demo-bucket*com o nome do bucket do Amazon S3 que contém os eventos de trilha de suas contas.
*your-organization-id*com o ID da AWS organização da qual suas contas são membros.
*your-optional-s3-log-delievery-prefix*com o CloudTrail prefixo de entrega do bucket Amazon S3 da sua trilha. Por exemplo`my-bucket-prefix`, que você pode ter definido ao [criar sua CloudTrail trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).
Se você não configurou um prefixo de entrega de bucket do Amazon S3 para sua trilha, remova "*your-optional-s3-log-delievery-prefix*" e a barra contínua (`/`) das seguintes declarações de política de bucket do Amazon S3.
As três declarações de política de bucket do Amazon S3 a seguir concedem ao Accelerate acesso para recuperar as configurações e executar consultas do AWS Athena para [analisar os eventos no bucket Amazon S3 de destino de entrega de CloudTrail eventos a](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html) partir da sua conta do Accelerate.
```
{
"Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringLike": {
"s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
#### Revise e atualize a política AWS KMS principal para seu destino de entrega de CloudTrail eventos
Durante a integração, você trabalha com seu Cloud Architect (CA) para atualizar a política de AWS KMS chaves usada para criptografar os eventos de CloudTrail trilha entregues ao seu bucket do Amazon S3. Certifique-se de anexar as declarações de política de AWS KMS chave de referência à sua chave existente AWS KMS . Isso configura o Accelerate para se integrar ao seu destino atual de entrega de eventos de CloudTrail trilha, bucket do Amazon S3, e descriptografar eventos. Para permitir que seus usuários consultem alterações em seu bucket Amazon S3 de destino de entrega de CloudTrail eventos a partir de sua conta do Accelerate, você pode implantar uma função do IAM nomeada uniformemente em cada conta da sua organização que o Accelerate está gerenciando e adicioná-la à lista “aws:PrincipalArn”. Com essa configuração, seus usuários podem consultar eventos.
Há diferentes cenários AWS KMS principais de atualização de políticas a serem considerados. Você pode ter apenas uma AWS KMS chave configurada em sua CloudTrail trilha para criptografar todos os eventos, e não ter uma AWS KMS chave que criptografe objetos em seu bucket do Amazon S3. Ou você pode ter uma AWS KMS chave que criptografa eventos entregues por CloudTrail e outra AWS KMS chave que criptografa todos os objetos armazenados em seu bucket do Amazon S3. Quando você tem duas AWS KMS chaves, você atualiza a AWS KMS política de chaves de cada chave para conceder ao Accelerate acesso aos seus CloudTrail eventos. Certifique-se de alterar a declaração de política de AWS KMS chaves de referência à sua política de AWS KMS chaves existente antes de atualizar a política. Para obter mais informações sobre como atualizar uma política de AWS KMS chaves, consulte [Alterar uma política de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) no *Guia AWS Key Management Service do usuário*.
**Importante**
Você precisa atualizar sua política de AWS KMS chaves somente quando o Accelerate se integra a uma CloudTrail trilha com a criptografia SSE-KMS do arquivo de log ativada.
**nota**
Antes de aplicar essa declaração de política de AWS KMS chaves à AWS KMS chave usada para criptografar seus AWS CloudTrail eventos entregues ao seu bucket do Amazon S3, substitua os *red* seguintes campos pelos valores aplicáveis:
*YOUR-ORGANIZATION-ID*com o ID da AWS organização da qual suas contas são membros.
[Essa declaração de política AWS KMS fundamental concede ao Accelerate acesso para decifrar e consultar eventos de trilha entregues ao bucket do Amazon S3 a partir de cada conta em sua organização, com acesso restrito ao Athena, usado pelo Accelerate para consultar e analisar eventos. CloudTrail ](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html) .
```
{
"Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
# O modelo para criar funções do AMS
A função do AMS a seguir concede permissões ao seu arquiteto de nuvem (CA) do AMS. O arquivo zip a seguir contém o código e o CloudFormation modelo do Terraform que simplificam a criação da função, da política de permissões e da política de confiança do IAM. Para obter mais informações, consulte seu CA.
| Função | Exigido por | Modelos de exemplo |
| --- |--- |--- |
| `aws_managedservices_onboarding_role` | Pessoal do AMS somente durante a integração | [onboarding\$1role\$1minimal.zip](samples/onboarding_role_minimal.zip) |
**nota**
Depois de selecionar e baixar um modelo de amostra (um por função), você os carregará como definições de CloudFormation pilhas[Crie `aws_managedservices_onboarding_role` com o CloudFormation for Accelerate](acc-onb-create-roles-with-cf.md).
# Crie `aws_managedservices_onboarding_role` com o CloudFormation for Accelerate
Você pode criar a AWS Identity and Access Management função,`aws_managedservices_onboarding_role`, com a CloudFormation partir do Console de gerenciamento da AWS. Ou você pode usar comandos de AWS CloudShell para implantar a função.
## Use o Console de gerenciamento da AWS
**nota**
Antes de começar, tenha um arquivo JSON ou YAML para cada função pronto para ser carregado. Para obter mais informações, consulte [O modelo para criar funções do AMS](acc-onb-roles.md).
Para criar a função a partir do Console de gerenciamento da AWS, conclua as seguintes etapas:
1. Faça login no Console de gerenciamento da AWS e abra o CloudFormation console em [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
![\[CloudFormation Stacks interface showing no stacks and options to create or view guide.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/image1.png)
1. Escolha **Criar pilha > Com novos recursos (padrão)**. Você vê a página a seguir.
![\[Create stack interface with options to specify template and upload template file.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/image2.png)
1. **Escolha **Carregar um arquivo de modelo**, faça upload do arquivo JSON ou YAML da função do IAM e escolha Avançar.** Você vê a página a seguir.
![\[Form for specifying stack details, including stack name and parameters fields.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/image3.png)
1. Insira o nome da pilha "**ams-onboarding-role**" no campo **Nome da pilha**. Insira um **DateOfExpiry**usando o formato “YYYY-MM-DDT 00:00:00 Z” (recomenda-se 30 dias a partir da data atual). Continue rolando para baixo e selecionando Avançar até chegar a esta página:
![\[Capabilities section with AWSIAM role requirement and checkbox for custom names.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/image4.png)
1. Verifique se a caixa de seleção está marcada e selecione **Criar pilha**.
1. Verifique se a pilha foi criada com sucesso.
## Use comandos de AWS CloudShell
Para implantar a função `aws_managedservices_onboarding_role` do IAM, execute o seguinte comando em [AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html):
------
#### [ AWS CLI ]
```
curl -s "https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip" -o "onboarding_role_minimal.zip"
unzip -q -o onboarding_role_minimal.zip
aws cloudformation create-stack \
--stack-name "aws-managedservices-onboarding-role" \
--capabilities CAPABILITY_NAMED_IAM \
--template-body file://onboarding_role_minimal.json \
--parameters ParameterKey=DateOfExpiry,ParameterValue="`date -d '+30 days' -u '+%Y-%m-%dT%H:%M:%SZ'`"
```
------
#### [ AWS Tools for PowerShell ]
```
Invoke-WebRequest -Uri 'https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip' -OutFile 'onboarding_role_minimal.zip'
Expand-Archive -Path 'onboarding_role_minimal.zip' -DestinationPath . -Force
New-CFNStack `
-StackName 'aws-managedservices-onboarding-role' `
-Capability CAPABILITY_NAMED_IAM `
-TemplateBody (Get-Content 'onboarding_role_minimal.json' -Raw) `
-Parameter @{ParameterKey = "DateOfExpiry"; ParameterValue = (Get-Date).AddDays(30).ToString('yyyy-MM-ddTHH:mm:ssZ')}
```
------
Depois de criar a função, trabalhe com seu Cloud Architect (CA) para concluir o [Etapa 2. Recursos de gerenciamento de integração no Accelerate](acc-get-mgmt-resource-onboard.md) processo. Depois que o AMS informar que sua conta está ativa, você estará pronto para integrar suas instâncias.