As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Contas de várias contas da Landing Zone
**Topics**
+ [Conta de gerenciamento](management-account.md)
+ [Conta de rede](networking-account.md)
+ [Conta do Shared Services](shared-services-account.md)
+ [Conta do Log Archive](logging-account.md)
+ [Conta de segurança](security-account.md)
+ [Tipos de conta de aplicativo](application-account.md)
+ [Conta do AMS Tools (migrando cargas de trabalho)](tools-account.md)
# Conta de gerenciamento
A conta de gerenciamento é sua conta inicial da AWS quando você inicia a integração com o AMS. Ele utiliza o AWS Organizations como uma conta de gerenciamento (também conhecida como a conta do pagador que paga as cobranças de todas as contas dos membros), o que dá à conta a capacidade de criar e gerenciar financeiramente as contas dos membros. Ele contém a estrutura da AWS landing zone (ALZ), conjuntos de pilhas de configuração de contas, políticas de controle de serviços da AWS Organization (SCPs) etc.
Para obter mais informações sobre como usar uma conta de gerenciamento, consulte [Melhores práticas para a conta de gerenciamento](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html).
O diagrama a seguir fornece uma visão geral de alto nível dos recursos contidos na conta de gerenciamento.
![\[Conta de gerenciamento overview showing AMS Customer Region and various Serviços da AWS and features.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/management-account.png)
## Recursos na conta de gerenciamento
Além dos serviços padrão acima, nenhum recurso adicional da AWS é criado na conta de gerenciamento durante a integração. As seguintes informações são necessárias durante a integração no AMS:
+ *ID da conta de gerenciamento*: ID da conta da AWS criada inicialmente por você.
+ *E-mails de contas principais*: forneça os e-mails a serem associados a cada uma das contas principais: rede, serviços compartilhados, registro e conta de segurança.
+ *Região de serviço*: forneça a região da AWS na qual todos os recursos da sua landing zone do AMS serão implantados.
# Conta de rede
A conta de rede serve como o hub central para o roteamento de rede entre contas de landing zone com várias contas do AMS, sua rede local e o tráfego de saída para a Internet. Além disso, essa conta contém bastiões públicos da DMZ que são o ponto de entrada para os engenheiros do AMS acessarem os hosts no ambiente AMS. Para obter detalhes, consulte o diagrama de alto nível da conta de rede a seguir.
![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/malzNetworkAccount.png)
# Arquitetura da conta de rede
O diagrama a seguir mostra o ambiente de landing zone de várias contas do AMS, mostrando os fluxos de tráfego de rede em todas as contas, e é um exemplo de uma configuração altamente disponível.
![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW-2.png)
![\[Diagram showing network traffic flow between Contas da AWS, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)
O AMS configura todos os aspectos da rede para você com base em nossos modelos padrão e nas opções selecionadas fornecidas durante a integração. Um design de rede padrão da AWS é aplicado à sua conta da AWS, e uma VPC é criada para você e conectada ao AMS por VPN ou Direct Connect. Para obter mais informações sobre o Direct Connect, consulte [AWS Direct Connect](https://aws.amazon.com/directconnect/). VPCs Os padrões incluem a DMZ, serviços compartilhados e uma sub-rede de aplicativos. Durante o processo de integração, outros VPCs podem ser solicitados e criados para atender às suas necessidades (por exemplo, divisões de clientes, parceiros). Após a integração, você recebe um diagrama de rede: um documento de ambiente que explica como sua rede foi configurada.
**nota**
Para obter informações sobre limites e restrições de serviço padrão para todos os serviços ativos, consulte a documentação de [limites de serviços da AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
Nosso design de rede é construído em torno do [“Princípio do Privilégio Mínimo”](https://en.wikipedia.org/wiki/Principle_of_least_privilege) da Amazon. Para fazer isso, roteamos todo o tráfego, entrada e saída, por meio de uma DMZ, exceto o tráfego proveniente de uma rede confiável. A única rede confiável é aquela configurada entre seu ambiente local e a VPC por meio do uso de uma and/or VPN e do AWS Direct Connect (DX). O acesso é concedido por meio do uso de instâncias bastion, impedindo assim o acesso direto a quaisquer recursos de produção. Todos os seus aplicativos e recursos residem em sub-redes privadas que podem ser acessadas por meio de balanceadores de carga públicos. O tráfego de saída pública flui pelos Gateways NAT na VPC de saída (na conta de rede) para o Internet Gateway e depois para a Internet. Como alternativa, o tráfego pode fluir pela VPN ou pelo Direct Connect para o ambiente local.
# Conectividade de rede privada com o ambiente AMS Multi-account landing zone
A AWS oferece conectividade privada por meio de conectividade de rede privada virtual (VPN) ou linhas dedicadas com o AWS Direct Connect. A conectividade privada em seu ambiente de várias contas é configurada usando um dos métodos descritos a seguir:
+ Conectividade de borda centralizada usando o Transit Gateway
+ Conectando a and/or VPN Direct Connect (DX) às nuvens privadas virtuais da conta () VPCs
# Conectividade de borda centralizada usando gateway de trânsito
O AWS Transit Gateway é um serviço que permite conectar sua rede VPCs e sua rede local a um único gateway. O Transit Gateway (TGW) pode ser usado para consolidar sua conectividade de borda existente e roteá-la por meio de um único ingress/egress ponto. O Transit Gateway é criado na conta de rede do seu ambiente de várias contas do AMS. Para obter mais detalhes sobre o gateway de trânsito, consulte [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
O gateway AWS Direct Connect (DX) é usado para conectar sua conexão DX por meio de uma interface virtual de trânsito ao VPCs ou VPNs que estão conectados ao seu gateway de trânsito. Você associa um gateway do Direct Connect com o gateway de trânsito. Em seguida, crie uma interface virtual de trânsito para sua conexão do AWS Direct Connect com o gateway Direct Connect. Para obter informações sobre interfaces virtuais DX, consulte Interfaces virtuais do [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html).
Essa configuração oferece os benefícios abaixo. É possível:
+ Gerencie uma única conexão para várias VPCs ou VPNs que estejam na mesma região da AWS.
+ Anuncie prefixos do local para a AWS e da AWS para o local.
**nota**
[Para obter informações sobre o uso de um DX com serviços da AWS, consulte a seção Classic do Resiliency Toolkit.](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html) Para obter mais informações, consulte [Associações do Transit Gateway](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html).
![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/malz-cent-edge.png)
Para aumentar a resiliência da sua conectividade, recomendamos que você conecte pelo menos duas interfaces virtuais de trânsito de diferentes locais do AWS Direct Connect ao gateway Direct Connect. Para obter mais informações, consulte a [recomendação de resiliência do AWS Direct Connect](https://aws.amazon.com/directconnect/resiliency-recommendation/).
# Conectando DX ou VPN à conta VPCs
Com essa opção, os ambientes VPCs de landing zone com várias contas do AMS são conectados diretamente ao Direct Connect ou VPN. O tráfego flui diretamente do VPCs para o Direct Connect ou VPN sem passar pelo gateway de trânsito.
# Recursos na conta de rede
Conforme mostrado no diagrama da conta de rede, os componentes a seguir são criados na conta e exigem sua entrada.
**A conta de rede contém duas VPCs: VPC de **saída e VPC** **DMZ, também conhecida como VPC** de perímetro.**
# Gerente de rede da AWS
O AWS Network Manager é um serviço que permite que você visualize suas redes de gateway de trânsito (TGW) sem custo adicional para o AMS. Ele fornece monitoramento de rede centralizado em recursos da AWS e em redes locais, uma visão global única de sua rede privada em um diagrama de topologia e em um mapa geográfico e métricas de utilização, como status de conexão de bytes. in/out, packets in/out, packets dropped, and alerts for changes in the topology, routing, and up/down Para mais informações, consulte [AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/).
Use uma das seguintes funções para acessar esse recurso:
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole
# VPC de saída
A VPC de saída é usada principalmente para tráfego de saída para a Internet e é composta por sub-redes em até três zonas public/private de disponibilidade (). AZs Os gateways de conversão de endereços de rede (NAT) são provisionados nas sub-redes públicas e os anexos VPC do gateway de trânsito (TGW) são criados nas sub-redes privadas. O tráfego de saída ou saída da Internet de todas as redes entra pela sub-rede privada via TGW, onde é então roteado para um NAT por meio de tabelas de rotas VPC.
Para aqueles VPCs que contêm aplicativos voltados para o público em uma sub-rede pública, o tráfego proveniente da Internet está contido nessa VPC. O tráfego de retorno não é roteado para o TGW ou para a VPC de saída, mas é roteado de volta pelo gateway da Internet (IGW) na VPC.
**nota**
Intervalo CIDR da VPC em rede: ao criar uma VPC, você deve especificar uma faixa de endereços IPv4 para a VPC na forma de um bloco de roteamento entre domínios sem classe (CIDR); por exemplo, 10.0.16.0/24. Este é o bloco CIDR principal da VPC.
A equipe de várias contas da landing zone do AMS recomenda o intervalo de 24 (com mais endereço IP) para fornecer algum buffer caso outros recursos/dispositivos sejam implantados no futuro.
# Firewall de saída gerenciado de Palo Alto
O AMS fornece uma solução gerenciada de firewall de saída de Palo Alto, que permite a filtragem do tráfego de saída da Internet para todas as redes no ambiente Multi-Account Landing Zone (excluindo serviços públicos). Essa solução combina a tecnologia de firewall líder do setor (Palo Alto VM-300) com os recursos de gerenciamento de infraestrutura da AMS para implantar, monitorar, gerenciar, escalar e restaurar a infraestrutura em ambientes operacionais compatíveis. Terceiros, incluindo a Palo Alto Networks, não têm acesso aos firewalls; eles são gerenciados exclusivamente pelos engenheiros da AMS.
## Controle de tráfego
A solução gerenciada de firewall de saída gerencia uma lista de permissões de domínio composta por domínios exigidos pelo AMS para serviços como backup e patch, bem como seus domínios definidos. Quando o tráfego de saída da Internet é roteado para o firewall, uma sessão é aberta, o tráfego é avaliado e, se corresponder a um domínio permitido, o tráfego é encaminhado para o destino.
## Arquitetura
A solução de firewall de saída gerenciada segue um modelo de alta disponibilidade, em que dois a três firewalls são implantados dependendo do número de zonas de disponibilidade (). AZs A solução utiliza parte do espaço IP da VPC de saída padrão, mas também provisiona uma extensão de VPC (/24) para os recursos adicionais necessários para gerenciar os firewalls.
![\[Network diagram showing Egress VPC with subnets, AMS Firewall VPC Extension, and associated resources.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/malz-pa-firewall-arch.png)
## Fluxo de rede
![\[AWS network architecture diagram showing Application, Networking, and Shared Services accounts with VPCs and subnets.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/malz-pa-firewall-net-flow.png)
![\[Traffic key showing different types of AWS network traffic with color-coded lines.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/malz-pa-firewall-net-flow-legend.png)
Em um alto nível, o roteamento do tráfego de saída pública permanece o mesmo, exceto pela forma como o tráfego é roteado para a Internet a partir da VPC de saída:
1. O tráfego de saída destinado à Internet é enviado ao Transit Gateway (TGW) por meio da tabela de rotas da VPC
1. O TGW roteia o tráfego para a VPC de saída por meio da tabela de rotas TGW
1. A VPC roteia o tráfego para a Internet por meio das tabelas de rotas de sub-rede privada
1. No ambiente padrão da Multi-Account Landing Zone, o tráfego da Internet é enviado diretamente para um gateway de conversão de endereços de rede (NAT). A solução de firewall gerenciado reconfigura as tabelas de rotas da sub-rede privada para apontar a rota padrão (0.0.0.0/0) para uma interface de firewall.
Os firewalls em si contêm três interfaces:
1. Interface confiável: interface privada para receber tráfego a ser processado.
1. Interface não confiável: interface pública para enviar tráfego para a Internet. Como os firewalls executam NAT, os servidores externos aceitam solicitações desses endereços IP públicos.
1. Interface de gerenciamento: interface privada para API de firewall, atualizações, console e assim por diante.
Em todo o roteamento, o tráfego é mantido na mesma zona de disponibilidade (AZ) para reduzir o tráfego entre AZ. O tráfego só passa AZs quando ocorre um failover.
## Modificação da lista de permissões
Após a integração, uma lista de permissões padrão chamada `ams-allowlist` é criada, contendo endpoints públicos exigidos pelo AMS, bem como endpoints públicos para corrigir hosts Windows e Linux. Depois de operar, você pode criar RFCs no console AMS na categoria Management \$1 Managed Firewall \$1 Outbound (Palo Alto) para criar ou excluir listas de permissões ou modificar os domínios. Esteja ciente de que `ams-allowlist` não pode ser modificado. Os RFCs são manipulados com automação total (eles não são manuais).
## Política de segurança personalizada
As políticas de segurança determinam se uma sessão deve ser bloqueada ou permitida com base nos atributos do tráfego, como a zona de segurança de origem e destino, o endereço IP de origem e destino e o serviço. Políticas de segurança personalizadas são suportadas de forma totalmente automatizada RFCs. CTs a opção para criar ou excluir uma política de segurança pode ser encontrada na categoria Gerenciamento \$1 Firewall Gerenciado \$1 Saída (Palo Alto), e a CT para editar uma política de segurança existente pode ser encontrada na categoria Implantação \$1 Firewall Gerenciado \$1 Saída (Palo Alto). Você poderá criar novas políticas de segurança, modificar políticas de segurança ou excluir políticas de segurança.
**nota**
A política de segurança padrão `ams-allowlist` não pode ser modificada
## CloudWatch Painéis de saída do PA
Dois painéis podem ser encontrados CloudWatch para fornecer uma visão agregada de Palo Alto (PA). O **AMS-MF-PA-Egress-Config-Dashboard** fornece uma visão geral da configuração do PA, links para listas de permissões e uma lista de todas as políticas de segurança, incluindo seus atributos. O painel **AMS-MF-PA-Egress-Dashboard** pode ser personalizado para filtrar registros de tráfego. Por exemplo, para criar um painel para uma política de segurança, você pode criar uma RFC com um filtro como:
```
fields @timestamp, @message
| filter @logStream like /pa-traffic-logs/
| filter @message like //
| parse @message "*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*," as x1, @x2, @x3, @x4, @type, @x6, @x7, @source_ip, @destination_ip, @source_nat_ip, @dest_nat_ip, @rule, @x13, @x14, @application, @x16, @from_zone, @to_zone, @x19, @x20, @x21, @x22, @session_id, @x24, @source_port, @destination_port, @source_nat_port, @destination_nat_port, @x29, @protocol, @action, @bytes, @bytes_sent, @bytes_recieved, @packets, @x36, @x37, @category, @x39, @x40, @x41, @source_country, @destination_country, @x44, @packets_sent, @packets_recieved, @session_end_reason, @x48, @x49, @x50
| display @timestamp, @rule, @action, @session_end_reason, @protocol, @source_ip, @destination_ip, @source_port, @destination_port, @session_id, @from_zone, @to_zone, @category, @bytes_sent, @bytes_recieved, @packets_sent, @packets_recieved, @source_country, @destination_country
```
## Modelo de failover
A solução de firewalls inclui dois ou três hosts de Palo Alto (PA) (um por AZ). Os canários Healthy Check funcionam em um cronograma constante para avaliar a saúde dos hospedeiros. Se um host for identificado como não íntegro, o AMS será notificado e o tráfego dessa AZ será automaticamente transferido para um host íntegro em outra AZ por meio da alteração da tabela de rotas. Como o fluxo de trabalho da verificação de integridade está em execução constante, se o host ficar íntegro novamente devido a problemas transitórios ou à correção manual, o tráfego será direcionado de volta para a AZ correta com o host íntegro.
## Escalabilidade
O AMS monitora o firewall quanto aos limites de taxa de transferência e escalabilidade. Quando os limites de taxa de transferência excedem os limites mais baixos da marca d'água (CPU/rede), o AMS recebe um alerta. Um limite baixo de produção de água indica que os recursos estão se aproximando da saturação, chegando a um ponto em que a AMS avaliará as métricas ao longo do tempo e tentará sugerir soluções de escalabilidade.
## Backup e restauração
Os backups são criados durante a inicialização inicial, após qualquer alteração na configuração e em intervalos regulares. Os backups de inicialização inicial são criados por host, mas as alterações na configuração e os backups com intervalos regulares são realizados em todos os hosts de firewall quando o fluxo de trabalho de backup é invocado. Os engenheiros do AMS podem criar backups adicionais fora dessas janelas ou fornecer detalhes do backup, se solicitado.
Os engenheiros do AMS podem realizar a restauração dos backups de configuração, se necessário. Se for necessária uma restauração, ela ocorrerá em todos os hosts para manter a configuração entre os hosts sincronizada.
A restauração também pode ocorrer quando um host exige a reciclagem completa de uma instância. Uma restauração automática do backup mais recente ocorre quando uma nova EC2 instância é provisionada. Em geral, os hosts não são reciclados regularmente e são reservados para falhas graves ou trocas de AMI necessárias. As reciclagens do host são iniciadas manualmente e você é notificado antes que uma reciclagem ocorra.
Além dos backups da configuração do firewall, suas regras específicas da lista de permissões são copiadas separadamente. Um backup é criado automaticamente quando suas regras de lista de permissões definidas são modificadas. A restauração do backup da lista de permissões pode ser realizada por um engenheiro do AMS, se necessário.
## Atualizações
A solução AMS Managed Firewall requer várias atualizações ao longo do tempo para adicionar melhorias ao sistema, recursos adicionais ou atualizações ao sistema operacional (SO) ou ao software do firewall.
A maioria das mudanças não afetará o ambiente em execução, como a atualização da infraestrutura de automação, mas outras mudanças, como rotação de instâncias de firewall ou atualização do sistema operacional, podem causar interrupções. Quando uma possível interrupção do serviço devido a atualizações for avaliada, o AMS coordenará com você para acomodar as janelas de manutenção.
## Acesso do operador
Os operadores do AMS usam suas ActiveDirectory credenciais para fazer login no dispositivo Palo Alto e realizar operações (por exemplo, aplicar patches, responder a um evento etc.). A solução retém registros padrão de autenticação e alteração de configuração do operador AMS para rastrear as ações realizadas nos Palo Alto Hosts.
## Registros padrão
Por padrão, os registros gerados pelo firewall residem no armazenamento local de cada firewall. Com o tempo, os registros locais serão excluídos com base na utilização do armazenamento. A solução AMS fornece o envio em tempo real dos registros das máquinas para CloudWatch os registros; para obter mais informações, consulte[CloudWatch Integração de registros](#networking-pa-firewall-cw-logs).
Os engenheiros do AMS ainda podem consultar e exportar registros diretamente das máquinas, se necessário. Além disso, os registros podem ser enviados para um Panorama de propriedade do cliente; para obter mais informações, consulte. [Integração Panorama](#networking-pa-firewall-panorama)
Os registros coletados pela solução são os seguintes:
**Códigos de status RFC**
| Tipo de log | Descrição |
| --- | --- |
| Tráfego | Exibe uma entrada para o início e o fim de cada sessão. Cada entrada inclui data e hora, zonas de origem e destino, endereços e portas, nome do aplicativo, nome da regra de segurança aplicada ao fluxo, ação da regra (permitir, negar ou descartar), interface de entrada e saída, número de bytes e motivo do término da sessão. A coluna Tipo indica se a entrada é para o início ou o fim da sessão, ou se a sessão foi negada ou cancelada. Uma “queda” indica que a regra de segurança que bloqueou o tráfego especificou “qualquer” aplicativo, enquanto uma “negação” indica que a regra identificou um aplicativo específico. Se o tráfego for descartado antes que o aplicativo seja identificado, como quando uma regra elimina todo o tráfego de um serviço específico, o aplicativo é mostrado como “não aplicável”. |
| Ameaça | Exibe uma entrada para cada alarme de segurança gerado pelo firewall. Cada entrada inclui a data e a hora, o nome ou URL da ameaça, as zonas de origem e destino, endereços e portas, o nome do aplicativo e a ação do alarme (permitir ou bloquear) e a gravidade. A coluna Tipo indica o tipo de ameaça, como “vírus” ou “spyware”; a coluna Nome é a descrição ou URL da ameaça; e a coluna Categoria é a categoria de ameaça (como “keylogger”) ou categoria de URL. |
| Filtragem de URL | Exibe registros de filtros de URL, que controlam o acesso a sites e se os usuários podem enviar credenciais para sites. |
| Configuração | Exibe uma entrada para cada alteração de configuração. Cada entrada inclui a data e a hora, o nome de usuário do administrador, o endereço IP de onde a alteração foi feita, o tipo de cliente (interface web ou CLI), o tipo de comando executado, se o comando foi bem-sucedido ou falhou, o caminho de configuração e os valores antes e depois da alteração. |
| Sistema | Exibe uma entrada para cada evento do sistema. Cada entrada inclui a data e a hora, a gravidade do evento e uma descrição do evento. |
| alarmes | O registro de alarmes registra informações detalhadas sobre os alarmes gerados pelo sistema. As informações nesse registro também são relatadas em Alarmes. Consulte “Definir configurações de alarme”. |
| Autenticação | Exibe informações sobre eventos de autenticação que ocorrem quando os usuários finais tentam acessar recursos de rede cujos acessos são controlados pelas regras da política de autenticação. Os usuários podem usar essas informações para ajudar a solucionar problemas de acesso e ajustar a política de autenticação do usuário conforme necessário. Em conjunto com objetos de correlação, os usuários também podem usar os registros de autenticação para identificar atividades suspeitas na rede do usuário, como ataques de força bruta. Opcionalmente, os usuários podem configurar as regras de autenticação para registrar os tempos limite de autenticação. Esses tempos limite estão relacionados ao período em que um usuário precisa se autenticar para um recurso apenas uma vez, mas pode acessá-lo repetidamente. Ver informações sobre os tempos limite ajuda os usuários a decidir se e como ajustá-los. |
| Unificado | Exibe as entradas mais recentes do registro de tráfego, ameaças, filtragem de URL, WildFire envios e filtragem de dados em uma única visualização. A visualização coletiva de registros permite que os usuários investiguem e filtrem esses diferentes tipos de registros juntos (em vez de pesquisar cada conjunto de registros separadamente). Ou os usuários podem escolher quais tipos de registro exibir: clique na seta à esquerda do campo de filtro e selecione tráfego, ameaça, URL, dados, and/or incêndio para exibir somente os tipos de registro selecionados. |
## Gerenciamento de eventos
O AMS monitora continuamente a capacidade, o status de saúde e a disponibilidade do firewall. As métricas geradas pelo firewall, bem como as métricas AWS/AMS geradas, são usadas para criar alarmes que são recebidos pelos engenheiros de operações do AMS, que investigarão e resolverão o problema. Os alarmes atuais abrangem os seguintes casos:
Alarmes de eventos:
+ Utilização da CPU do Firewall Dataplane
+ Utilização da CPU - CPU do Dataplane (tráfego de processamento)
+ A utilização do pacote de plano de dados do firewall está acima de 80%
+ Utilização de pacotes - Dataplane (processamento de tráfego)
+ Utilização da sessão do Firewall Dataplane
+ Sessão ativa do Firewall Dataplane
+ Utilização agregada da CPU do firewall
+ Utilização da CPU em todos CPUs
+ Failover pela AZ
+ Alarmes quando ocorre um failover em uma AZ
+ Host de Syslog não íntegro
+ O host do Syslog falha na verificação de integridade
Alarmes de gerenciamento:
+ Alarme de falha do Health Check Monitor
+ Quando o fluxo de trabalho de verificação de integridade falha inesperadamente
+ Isso é para o fluxo de trabalho em si, não se uma verificação de integridade do firewall falhar
+ Alarme de falha de rotação de senha
+ Quando a rotação da senha falha
+ A senha do usuário da API/serviço é trocada a cada 90 dias
## Métricas
Todas as métricas são capturadas e armazenadas CloudWatch na conta de rede. Eles podem ser visualizados obtendo acesso ao console à conta de rede e navegando até o CloudWatch console. **Métricas individuais podem ser visualizadas na guia de métricas ou em um painel de painel único de métricas selecionadas e métricas agregadas podem ser visualizadas navegando até a guia Painel e selecionando AMS-MF-PA-Egress-Dashboard.**
Métricas personalizadas:
+ Verificação de integridade
+ Namespace: AMS/MF/PA/Egress
+ PARouteTableConnectionsByAZ
+ PAUnhealthyByInstance
+ PAUnhealthyAggregatedByAZ
+ PAHealthCheckLockState
+ Firewall gerado
+ Espaço para nomes:/AMS/MF/PA/Egress
+ DataPlaneCPUUtilizationPct
+ DataPlanePacketBuffferUtilization
+ panela GPGateway UtilizationPct
+ panSessionActive
+ panSessionUtilization
## CloudWatch Integração de registros
CloudWatch A integração de registros encaminha os registros dos firewalls para o CloudWatch Logs, o que reduz o risco de perda de registros devido à utilização do armazenamento local. Os registros são preenchidos em tempo real à medida que os firewalls os geram e podem ser visualizados sob demanda por meio do console ou da API.
Consultas complexas podem ser criadas para análise de registros ou exportadas para CSV usando o Insights. CloudWatch Além disso, o CloudWatch painel personalizado do AMS Managed Firewall também mostrará uma visão rápida de consultas específicas de registros de tráfego e uma visualização gráfica do tráfego e dos impactos de políticas ao longo do tempo. A utilização de CloudWatch registros também permite a integração nativa com outros serviços da AWS, como o AWS Kinesis.
**nota**
Os registros de PA não podem ser encaminhados diretamente para um coletor Syslog existente no local ou de terceiros. A solução AMS Managed Firewall fornece o envio em tempo real dos registros das máquinas de PA para o AWS CloudWatch Logs. Você pode usar o recurso CloudWatch Logs Insight para executar consultas ad-hoc. Além disso, os registros podem ser enviados para a solução de gerenciamento de Panorama de Palo Alto. CloudWatch os registros também podem ser encaminhados para outros destinos usando filtros de CloudWatch assinatura. Saiba mais sobre Panorama na seção a seguir. Para saber mais sobre o Splunk, consulte [Integração com](https://docs.aws.amazon.com/managedservices/latest/userguide/enable-Splunk-log-push.html) o Splunk.
## Integração Panorama
O AMS Managed Firewall pode, opcionalmente, ser integrado ao seu Panorama existente. Isso permite que você visualize as configurações do firewall do Panorama ou encaminhe os registros do firewall para o Panorama. A integração do Panorama com o AMS Managed Firewall é somente para leitura, e as alterações de configuração nos firewalls do Panorama não são permitidas. O Panorama é totalmente gerenciado e configurado por você. O AMS será responsável apenas por configurar os firewalls para se comunicar com ele.
## Licenciamento
O preço do AMS Managed Firewall depende do tipo de licença usada, por hora ou traga sua própria licença (BYOL), e do tamanho da instância na qual o dispositivo é executado. Você deve solicitar o tamanho das instâncias e as licenças do firewall de Palo Alto de sua preferência por meio do AWS Marketplace.
+ Licenças do Marketplace: aceite os termos e condições do VM-Series Next-Generation Firewall Bundle 1 da conta de rede no MALZ.
+ Licenças BYOL: aceite os termos e condições do VM-Series Next-Generation Firewall (BYOL) da conta de rede no MALZ e compartilhe o “código de autenticação BYOL” obtido após a compra da licença para a AMS.
## Limitações
No momento, o AMS oferece suporte ao firewall da série VM-300 ou da série VM-500. As configurações podem ser encontradas aqui: Modelos da [série VM em instâncias da AWS](https://docs.paloaltonetworks.com/vm-series/10-0/vm-series-performance-capacity/vm-series-performance-capacity/vm-series-on-aws-models-and-instances.html), EC2
**nota**
A solução AMS é executada no modo Ativo-Ativo, pois cada instância de PA em sua AZ processa o tráfego de saída de sua respectiva AZ. Portanto, com duas AZs, cada instância PA processa o tráfego de saída de até 5 Gbps e fornece efetivamente uma taxa de transferência geral de 10 Gbps em duas. AZs O mesmo vale para todos os limites em cada AZ. Se a verificação de integridade do AMS falhar, transferimos o tráfego da AZ com o PA incorreto para outra AZ e, durante a substituição da instância, a capacidade é reduzida até os AZs limites restantes.
Atualmente, o AMS não oferece suporte a outros pacotes de Palo Alto disponíveis no AWS Marketplace; por exemplo, você não pode solicitar o “VM-Series Next-Generation Firewall Bundle 2". Observe que a solução AMS Managed Firewall usando Palo Alto atualmente fornece apenas uma oferta de filtragem de tráfego de saída, portanto, o uso de pacotes avançados da série VM não forneceria nenhum recurso ou benefício adicional.
## Requisitos de integração
+ Você deve revisar e aceitar os termos e condições do firewall de próxima geração da série VM de Palo Alto no AWS Marketplace.
+ Você deve confirmar o tamanho da instância que deseja usar com base na carga de trabalho esperada.
+ Você deve fornecer um bloco CIDR /24 que não entre em conflito com as redes em seu ambiente de zona de destino de várias contas ou no local. Ela deve ser da mesma classe da VPC de saída (a solução fornece uma extensão de VPC /24 para a VPC de saída).
## Preços
Os custos da infraestrutura básica do AMS Managed Firewall são divididos em três fatores principais: a EC2 instância que hospeda o firewall Palo Alto, a licença de software, as licenças da série VM da Palo Alto e as integrações. CloudWatch
Os preços a seguir são baseados no firewall da série VM-300.
+ EC2 Instâncias: O firewall de Palo Alto é executado em um modelo de alta disponibilidade de 2 a 3 EC2 instâncias, em que a instância é baseada nas cargas de trabalho esperadas. O custo da instância depende da região e do número de AZs
+ Por exemplo, us-east-1, m5.xlarge, 3 AZs
+ \$10,192 \$1 24 \$1 30\$1 3 = \$1414,72
+ https://aws.amazon.com/ec2/preços/sob demanda/
+ Licenças Palo Alto: O custo da licença de software de um firewall de próxima geração do Palo Alto VM-300 depende do número de AZ e do tipo de instância.
+ Por exemplo, us-east-1, m5.xlarge, 3 AZs
+ \$10,87 \$1 24 \$1 30\$1 3 = \$11879,20
+ https://aws.amazon.com/marketplace/PP/B083M7JPKB? ref\$1=srh\$1res\$1product\$1title \$1pdp -pricing
+ CloudWatch Integração de CloudWatch registros: a integração de registros utiliza SysLog servidores (EC2 - t3.medium), NLB e registros. CloudWatch O custo dos servidores é baseado na região e no número de AZs, e o custo dos NLB/CloudWatch registros varia de acordo com a utilização do tráfego.
+ Por exemplo, us-east-1, t3.medium, 3AZ
+ 0,0416 USD\$1 24 \$1 30\$1 3 = 89,86 US\$1
+ https://aws.amazon.com/ec2/preços/sob demanda/
+ https://aws.amazon.com/cloudwatch/preços/
# Perímetro (DMZ) VPC
O VPC Perimeter, ou DMZ, contém os recursos necessários para que os engenheiros de operações do AMS acessem as redes AMS. Ele contém sub-redes públicas de 2 a 3 AZs, com hosts SSH Bastions em um grupo de Auto Scaling (ASG) para os engenheiros de operações do AMS acessarem ou passarem por túneis. **Os grupos de segurança conectados aos bastiões da DMZ contêm regras de entrada da porta 22 da Amazon Corp Networks.**
Intervalo *CIDR DMZ VPC: ao criar uma VPC, você deve especificar uma faixa* de endereços IPv4 para a VPC na forma de um bloco de roteamento entre domínios sem classe (CIDR); por exemplo, 10.0.16.0/24. Este é o bloco CIDR principal da VPC.
**nota**
A equipe do AMS recomenda o intervalo de 24 (com mais endereço IP) para fornecer algum buffer caso outros recursos, como um firewall, sejam implantados no futuro.
# AWS Transit Gateway
O AWS Transit Gateway (TGW) é um serviço que permite conectar suas Amazon Virtual Private Clouds (VPCs) e suas redes locais a um único gateway. O Transit Gateway é o backbone de rede que gerencia o roteamento entre redes de contas AMS e redes externas. Para obter informações sobre o Transit Gateway, consulte [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
Forneça a seguinte entrada para criar esse recurso:
+ *Número ASN do Transit Gateway* \$1: forneça o Número do Sistema Autônomo (ASN) privado para seu gateway de trânsito. Ele deve ser o ASN para o lado da AWS de uma sessão de Border Gateway Protocol (BGP). O intervalo é de 64512 a 65534 para 16 bits. ASNs
# Conta do Shared Services
A conta de Serviços Compartilhados serve como hub central para a maioria dos serviços de plano de dados do AMS. A conta contém a infraestrutura e os recursos necessários para gerenciamento de acesso (AD), gerenciamento de segurança de terminais (Trend Micro) e contém os bastiões do cliente (SSH/RDP). Uma visão geral de alto nível dos recursos contidos na Conta de Serviços Compartilhados é mostrada no gráfico a seguir.
![\[Diagram of Shared Services Account architecture with VPC, subnets, and various Serviços da AWS.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/malzSharedServicesAccount2.png)
A VPC do Shared Services é composta pela sub-rede AD, pela sub-rede EPS e pela sub-rede Customer Bastions nas três zonas de disponibilidade (). AZs Os recursos criados na VPC do Shared Services estão listados abaixo e exigem sua contribuição.
+ *Intervalo CIDR da VPC do Shared Services:* ao criar uma VPC, você deve especificar uma faixa de endereços IPv4 para a VPC na forma de um bloco de roteamento entre domínios sem classe (CIDR); por exemplo, 10.0.1.0/24. Este é o bloco CIDR principal da VPC.
**nota**
A equipe do AMS recomenda o intervalo de /23.
+ *Detalhes do Active Directory*: O Microsoft Active Directory (AD) é utilizado para user/resource gerenciamento, autenticação/autorização e DNS em todas as suas contas de landing zone com várias contas do AMS. O AMS AD também é configurado com uma confiança unidirecional em seu Active Directory para autenticação baseada em confiança. A entrada a seguir é necessária para criar o AD:
+ Nome de domínio totalmente qualificado (FQDN): o nome de domínio totalmente qualificado para o diretório AWS Managed Microsoft AD. O domínio não deve ser um domínio existente ou um domínio secundário de um domínio existente na sua rede.
+ Nome NetBIOS do domínio: Se você não especificar um nome NetBIOS, o AMS padronizará o nome para a primeira parte do DNS do seu diretório. Por exemplo, corp para o diretório DNS corp.example.com.
+ *Trend Micro — segurança de proteção de terminais (EPS)*: A proteção de terminais (EPS) da Trend Micro é o principal componente do AMS para segurança do sistema operacional. O sistema é composto pelo Deep Security Manager (DSM), EC2 instâncias, instâncias de retransmissão e um agente presente em todas as EC2 instâncias do plano de dados e do cliente. EC2
Você deve assumir o `EPSMarketplaceSubscriptionRole` na conta de Serviços Compartilhados e assinar a AMI do Trend Micro Deep Security (BYOL) ou o Trend Micro Deep Security (Marketplace).
As seguintes entradas padrão são necessárias para criar o EPS (se você quiser mudar dos padrões):
+ Tipo de instância de retransmissão: valor padrão - m5.large
+ Tipo de instância DSM: valor padrão - m5.xlarge
+ Tamanho da instância de banco de dados: valor padrão - 200 GB
+ Tipo de instância do RDS: valor padrão - db.m5.large
+ *Bastions do cliente*: você recebe bastiões SSH ou RDP (ou ambos) na Conta de Serviços Compartilhados para acessar outros hosts em seu ambiente AMS. Para acessar a rede AMS como usuário (SSH/RDP), you must use "customer" Bastions as the entry point. The network path originates from the on-premise network, goes through DX/VPNpara o gateway de trânsito (TGW) e, em seguida, ser roteada para a VPC do Shared Services. Depois de acessar o bastion, você pode ir para outros hosts no ambiente AMS, desde que a solicitação de acesso tenha sido concedida.
+ As seguintes entradas são necessárias para os bastiões SSH.
+ Capacidade de instância desejada do SSH Bastion: valor padrão - 2.
+ Instâncias máximas do SSH Bastion: valor padrão - 4.
+ Instâncias mínimas do SSH Bastion: valor padrão -2.
+ Tipo de instância SSH Bastion: Valor padrão - m5.large (pode ser alterado para economizar custos; por exemplo, um t3.medium).
+ SSH Bastion Ingress CIDRs: intervalos de endereços IP a partir dos quais os usuários da sua rede acessam o SSH Bastions.
+ As entradas a seguir são necessárias para os bastiões do Windows RDP.
+ Tipo de instância do RDP Bastion: Valor padrão - t3.medium.
+ Sessões mínimas desejadas do RDP Bastion: valor padrão - 2.
+ Sessões máximas de RDP: valor padrão -10.
+ Tipo de configuração RDP Bastion: Você pode escolher uma das configurações abaixo
+ SecureStandard = Um usuário recebe um bastião e somente um usuário pode se conectar ao bastião.
+ SecureHA = Um usuário recebe dois bastiões em duas AZs diferentes para se conectar e somente um usuário pode se conectar ao bastião.
+ SharedStandard = Um usuário recebe um bastião para se conectar e dois usuários podem se conectar ao mesmo bastião ao mesmo tempo.
+ SharedHA = Um usuário recebe dois bastiões em duas AZs diferentes para se conectar e dois usuários podem se conectar ao mesmo bastião ao mesmo tempo.
+ Entrada RDP do cliente CIDRs: intervalos de endereços IP a partir dos quais os usuários da sua rede acessarão o RDP Bastions.
# Atualizações nos serviços compartilhados: Zona de destino com várias contas
O AMS aplica lançamentos de planos de dados às contas gerenciadas mensalmente, sem aviso prévio.
O AMS usa a OU principal para fornecer serviços compartilhados, como acesso, rede, EPS, armazenamento de registros e agregação de alertas em sua zona de destino de várias contas. O AMS é responsável por lidar com vulnerabilidades, corrigir e implantar esses serviços compartilhados. O AMS atualiza regularmente os recursos usados para fornecer esses serviços compartilhados para que os usuários tenham acesso aos recursos mais recentes e às atualizações de segurança. As atualizações geralmente acontecem mensalmente. Os recursos que fazem parte dessas atualizações são:
+ Contas que fazem parte da OU principal.
A conta de gerenciamento, a conta de serviços compartilhados, a conta de rede, a conta de segurança e a conta de arquivamento de registros têm recursos para bastiões RDP e SSH, proxies, hosts de gerenciamento e segurança de endpoint (EPS), que normalmente são atualizados todos os meses. O AMS usa EC2 implantações imutáveis como parte da infraestrutura de serviços compartilhados.
+ Novo AMS AMIs incorporando as atualizações mais recentes.
**nota**
Os operadores do AMS utilizam um tipo de alteração de supressão de alarme (CT) interno ao executar alterações no plano de dados e o RFC desse CT aparece na sua lista de RFC. Isso ocorre porque, à medida que a versão do plano de dados é implantada, várias infraestruturas podem ser desligadas, reinicializadas, colocadas off-line, ou pode haver picos de CPU ou outros efeitos da implantação que acionam alarmes que, durante a implantação do plano de dados, são estranhos. Quando a implantação estiver concluída, verifica-se que toda a infraestrutura está funcionando corretamente e os alarmes são reativados.
# Conta do Log Archive
A conta Log Archive serve como o hub central para arquivar registros em seu ambiente de landing zone com várias contas do AMS. Há um bucket S3 na conta que contém cópias dos arquivos de log do AWS CloudTrail e do AWS Config de cada uma das contas do ambiente de landing zone de várias contas do AMS. Você pode usar essa conta para sua solução de registro centralizado com AWS Firehose, Splunk e assim por diante. O acesso do AMS a essa conta é limitado a alguns usuários; restrito a auditores e equipes de segurança para investigações forenses e de conformidade relacionadas à atividade da conta.
![\[Log Archive Account diagram showing Aggregated CloudTrail Logs and Aggregated Config Logs icons.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/malzLogAccount.png)
# Conta de segurança
A conta Security é o hub central para abrigar as operações relacionadas à segurança e o ponto principal para canalizar notificações e alertas para os serviços do plano de controle da AMS. Além disso, a conta de segurança abriga a conta de gerenciamento do Amazon Guard Duty e o agregador AWS Config.
![\[Security Account diagram showing GuardDuty Master, Simple Notification System, and Config Aggregator.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/malzSecurityAccount.png)
# Tipos de conta de aplicativo
As contas de aplicativos são contas da AWS dentro da arquitetura de landing zone gerenciada pela AMS que você usa para hospedar suas cargas de trabalho. O AMS oferece três tipos de contas de aplicativos:
+ [Contas de aplicativos gerenciadas pela AMS](application-account-ams-managed.md)
+ [Contas AMS Accelerate](malz-accelerate-account.md)
+ [Contas de aplicativos gerenciadas pelo cliente](application-account-cust-man.md)
As contas de aplicativos são agrupadas OUs em diferentes organizações da AWS, dependendo do tipo de conta de aplicativo:
+ UO raiz:
1. Aplicativos OU
+ OU gerenciada: contas gerenciadas pelo AMS
+ OU de desenvolvimento: contas gerenciadas pela AMS com o modo Desenvolvedor ativado
1. Acelere a OU: contas de aplicativos AMS Accelerate
1. OU gerenciada pelo cliente: contas de aplicativos gerenciadas pelo cliente
As contas de aplicativos são provisionadas por meio de uma RFC enviada pela conta de gerenciamento:
+ [Crie uma conta de aplicativo com VPC ct-1zdasmc2ewzrs](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-application-account-with-vpc.html)
+ Criar conta de aceleração [ct-2p93tyd5angmi](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html)
+ [Crie uma conta de aplicativo gerenciada pelo cliente ct-3pwbixz27n3tn](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html)
# Contas de aplicativos gerenciadas pela AMS
As contas de aplicativos que são totalmente gerenciadas pelo AMS são chamadas de contas de aplicativos gerenciadas pelo AMS, em que algumas ou todas as tarefas operacionais, como gerenciamento de solicitações de serviços, gerenciamento de incidentes, gerenciamento de segurança, gerenciamento de continuidade (backup), gerenciamento de patches, otimização de custos ou monitoramento e gerenciamento de eventos da infraestrutura, são executadas pelo AMS.
A quantidade de tarefas executadas pelo AMS depende do modo de gerenciamento de alterações selecionado. As contas gerenciadas pelo AMS oferecem suporte a diferentes modos de gerenciamento de mudanças:
+ [Modo RFC](rfc-mode.md)
+ [Modo de mudança direta no AMS](direct-change-mode-section.md)
+ [AMS e AWS Service Catalog](ams-service-catalog-section.md)
+ [Modo AMS Advanced Developer](developer-mode-section.md)
+ [Modo de provisionamento de autoatendimento no AMS](self-service-provisioning-section.md)
Para obter mais informações sobre gerenciamento de mudanças e modos diferentes, consulte[Modos de gerenciamento de alterações](using-change-management.md).
Há alguns serviços da AWS que você pode usar em sua conta gerenciada pelo AMS sem o gerenciamento do AMS. A lista desses serviços da AWS e como adicioná-los à sua conta do AMS estão descritos na seção [Provisionamento de autoatendimento](https://docs.aws.amazon.com/managedservices/latest/userguide/self-service-provisioning-section.html).
# Contas AMS Accelerate
O AMS Accelerate é o plano de operações do AMS que pode operar a infraestrutura da AWS que suporta cargas de trabalho. Você pode se beneficiar dos serviços operacionais do AMS Accelerate, como monitoramento e alertas, gerenciamento de incidentes, gerenciamento de segurança e gerenciamento de backup, sem passar por uma nova migração, passar por períodos de inatividade ou alterar a forma como você usa a AWS. O AMS Accelerate também oferece um complemento de patch opcional para cargas de trabalho EC2 baseadas que exigem patches regulares.
Com o AMS Accelerate, você tem a liberdade de usar, configurar e implantar todos os serviços da AWS de forma nativa ou com suas ferramentas preferidas. Você usará seus mecanismos preferidos de acesso e mudança, enquanto o AMS aplica consistentemente práticas comprovadas que ajudam a escalar sua equipe, otimizar custos, aumentar a segurança e a eficiência e melhorar a resiliência.
**nota**
As contas do AMS Accelerate no AMS Advanced não têm o gerenciamento de alterações do AMS (RFCs) ou o console do AMS Advanced. Em vez disso, eles têm o console e a funcionalidade do AMS Accelerate.
As contas Accelerate só podem ser provisionadas a partir de sua conta de gerenciamento de landing zone multiconta do AMS. O Accelerate oferece diferentes capacidades operacionais. Para saber mais, consulte a [descrição do serviço Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html).
+ Você continuará aproveitando alguns dos recursos das contas principais do multi-account landing zone (MALZ), como registro centralizado, cobrança única, Config Aggregator na conta de segurança e. SCPs
+ O AMS Accelerate não fornece alguns serviços avançados do AMS, como EPS, gerenciamento de acesso, gerenciamento de alterações e provisionamento. Recomendamos que você siga as próximas etapas para obter acesso e configurar o gateway de trânsito (TGW).
Para obter mais detalhes sobre o Accelerate, consulte [O que é Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/what-is-acc.html).
## Criando sua conta Accelerate
Para criar uma conta do Accelerate, siga as etapas descritas aqui [Crie uma conta do Accelerate](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html#deployment-managed-management-account-create-accelerate-account-info).
## Acessando sua conta Accelerate
Depois de provisionar uma conta Accelerate em sua conta multi-account landing zone (MALZ), uma função com permissões de [acesso administrativo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator) está na conta para você assumir. `AccelerateDefaultAdminRole`
Para acessar a nova conta do Accelerate:
1. Faça login no console do IAM da conta de gerenciamento com a `CustomerDefaultAssumeRole` função.
1. No console do IAM, na barra de navegação, escolha seu nome de usuário.
1. Selecione **Mudar de perfil**. Se esta for a primeira vez que esta opção é selecionada, uma página será exibida com mais informações. Depois de ler, escolha **Switch Role** (Mudar de função). Se você limpar seus cookies do navegador, esta página poderá ser exibida novamente.
1. Na página **Alternar função**, digite o ID da conta Accelerate e o nome da função a ser assumida:`AccelerateDefaultAdminRole`.
Agora que você tem acesso, pode criar novas funções do IAM para continuar acessando seu ambiente. Se você quiser aproveitar o SAML Federation para sua conta do Accelerate, consulte [Habilitar usuários federados do SAML 2.0 para acessar o AWS Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) Console.
## Conectando sua conta Accelerate ao Transit Gateway
O AMS não gerencia a configuração de rede de uma conta do Accelerate. Você tem a opção de gerenciar sua própria rede usando a AWS APIs (consulte [Soluções de rede](https://aws.amazon.com/solutionspace/networking/)) ou conectar-se à rede MALZ gerenciada pelo AMS, usando o Transit Gateway (TGW) existente implantado no AMS MALZ.
**nota**
Você só pode ter uma VPC conectada ao TGW se a conta Accelerate estiver na mesma região da AWS. Para obter mais informações, consulte [Transit Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html).
Para adicionar sua conta Accelerate ao Transit Gateway, solicite uma nova rota usando o tipo de alteração [Deployment \$1 Managed landing zone \$1 Networking account \$1 Add static route](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) e inclua estas informações:
+ **Blackhole**: Verdadeiro para indicar que o alvo da rota não está disponível. Faça isso quando o tráfego da rota estática for descartado pelo Transit Gateway. Falso para rotear o tráfego para o ID de anexo TGW especificado. O valor padrão é falso.
+ **DestinationCidrBlock**: o intervalo IPV4 CIDR usado para correspondências de destino. As decisões de roteamento são baseadas na correspondência mais específica. Exemplo: 10.0.2.0/24.
+ **TransitGatewayAttachmentId**: O ID do anexo TGW que servirá como destino da tabela de rotas. Se **Blackhole** for falso, esse parâmetro será obrigatório, caso contrário, deixe esse parâmetro em branco. Exemplo: tgw-attach-04eb40d1e14ec7272.
+ **TransitGatewayRouteTableId**: O ID da tabela de rotas do TGW. Exemplo: tgw-rtb-06ddc751c0c0c881c.
Crie rotas nas tabelas de rotas do TGW para se conectar a essa VPC:
1. Por padrão, essa VPC não poderá se comunicar com nenhuma outra VPCs na sua rede MALZ.
1. Decida com seu arquiteto de soluções com o que VPCs você deseja que essa Accelerate VPC se comunique.
1. Envie uma [implantação \$1 Managed landing zone \$1 Conta de rede \$1 Adicione o tipo de alteração da rota estática](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59), inclua estas informações:
+ **Blackhole**: Verdadeiro para indicar que o alvo da rota não está disponível. Faça isso quando o tráfego da rota estática for descartado pelo Transit Gateway. Falso para rotear o tráfego para o ID de anexo TGW especificado. O valor padrão é falso.
+ **DestinationCidrBlock**: o intervalo IPV4 CIDR usado para correspondências de destino. As decisões de roteamento são baseadas na correspondência mais específica. Exemplo: 10.0.2.0/24.
+ **TransitGatewayAttachmentId**: O ID do anexo TGW que servirá como destino da tabela de rotas. Se **Blackhole** for falso, esse parâmetro será obrigatório, caso contrário, deixe esse parâmetro em branco. Exemplo: tgw-attach-04eb40d1e14ec7272.
+ **TransitGatewayRouteTableId**: O ID da tabela de rotas do TGW. Exemplo: tgw-rtb-06ddc751c0c0c881c.
**Conectando uma nova conta Accelerate VPC à rede AMS Multi-Account Landing Zone (criando um anexo TGW VPC**):
1. Em sua conta de rede multi-conta landing zone, abra o console [Amazon VPC](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Gateways de trânsito**. Registre o ID TGW do gateway de trânsito que você vê.
1. Na sua conta do Accelerate, abra o [console da Amazon VPC](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateway Attachments > Create Transit **Gateway** Attachments**. Faça essas escolhas:
+ Para a **ID do Transit Gateway**, escolha a ID do Transit Gateway que você registrou na Etapa 2.
+ Em **Tipo de anexo**, escolha **VPC**.
+ Como opção, em **VPC Attachment (Anexo da VPC)**, insira um nome para **Attachment name tag (Tag de nome do anexo)**.
+ Escolha se deseja ativar o **DNS Support and **IPv6 Support****.
+ Em **ID da VPC**, escolha a VPC a ser anexada ao gateway de trânsito. Essa VPC precisa estar associada a pelo menos uma sub-rede.
+ Em **Sub-rede IDs**, selecione uma sub-rede para cada zona de disponibilidade a ser usada pelo gateway de trânsito para rotear o tráfego. É necessário selecionar pelo menos uma sub-rede. Você pode selecionar somente uma sub-rede por zona de disponibilidade.
1. Escolha **Create attachment (Criar anexo)**. Registre a ID do anexo TGW recém-criado.
**Associando o anexo TGW a uma tabela de rotas**:
1. Decida a qual tabela de rotas do TGW você deseja associar a VPC. Recomendamos criar uma nova tabela de rotas de aplicativos para a conta Accelerate VPCs usando o tipo de alteração Deployment \$1 Managed landing zone \$1 Networking account \$1 Create transit gateway route table (ct-3dscwaeyi6cup).
1. Envie um RFC [Management \$1 Managed landing zone \$1 Networking \$1 Associe o anexo TGW](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-networking-account-associate-tgw-attachment.html) (ct-3nmhh0qr338q6) na conta de rede para associar o anexo VPC ou TGW à tabela de rotas selecionada.
**Crie rotas nas tabelas de rotas do TGW para se conectar a essa VPC:**
1. Por padrão, essa VPC não conseguirá se comunicar com nenhuma outra VPCs na sua rede de landing zone de várias contas.
1. Decida com seu arquiteto de soluções com o que VPCs você deseja que essa conta Accelerate VPC se comunique.
1. Envie uma [implantação \$1 Managed landing zone \$1 Conta de rede \$1 Adicione uma rota estática](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) RFC à conta de rede para criar as rotas TGW de que você precisa.
**Configurando suas tabelas de rotas VPC para apontar para o gateway de trânsito multiconta da landing zone do AMS**:
1. Decida com seu arquiteto de soluções qual tráfego você deseja enviar para o gateway de trânsito do AMS Multi-Account Landing Zone.
1. Envie uma [implantação \$1 Managed landing zone \$1 Conta de rede \$1 Adicione uma rota estática](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) RFC à conta de rede para criar as rotas TGW de que você precisa.
# Contas de aplicativos gerenciadas pelo cliente
Você pode criar contas que o AMS não gerencia da maneira padrão. Essas contas são chamadas de contas gerenciadas pelo cliente e oferecem controle total para operar a infraestrutura dentro das contas por conta própria, enquanto aproveita os benefícios da arquitetura centralizada gerenciada pelo AMS.
As contas gerenciadas pelo cliente não têm acesso ao console do AMS nem a nenhum dos serviços que fornecemos (patch, backup etc.).
As contas gerenciadas pelo cliente só podem ser provisionadas a partir da sua conta de gerenciamento de landing zone com várias contas do AMS.
Diferentes modos do AMS funcionam com contas de aplicativos de forma diferente; para saber mais sobre os modos, consulte os [modos do AWS Managed Services](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/ams-modes.html).
Para criar sua conta de aplicativo gerenciada pelo cliente, consulte Conta [de gerenciamento \$1 Criar conta de aplicativo gerenciada pelo cliente](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html).
Para excluir uma conta de aplicativo gerenciada pelo cliente, use [Conta de gerenciamento \$1 Conta de aplicativo externo](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html). (O [Confirm Offboarding](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-application-account-confirm-offboarding.html) CT não se aplica às contas de aplicativos gerenciados pelo cliente.)
# Acessando sua conta gerenciada pelo cliente
Depois de provisionar uma conta gerenciada pelo cliente (CMA) na landing zone de várias contas, (MALZ), uma função de administrador,`CustomerDefaultAdminRole`, está na conta para você assumir, por meio da federação SAML, configurar a conta.
Para acessar o CMA:
1. Faça login no console do IAM da conta de gerenciamento com a **CustomerDefaultAssumeRole**função.
1. No console do IAM, na barra de navegação, escolha seu nome de usuário.
1. Selecione **Mudar de perfil**. Se esta for a primeira vez que esta opção é selecionada, uma página será exibida com mais informações. Depois de ler, escolha **Switch Role** (Mudar de função). Se você limpar seus cookies do navegador, esta página poderá ser exibida novamente.
1. Na página **Alternar função**, digite o ID da conta gerenciada pelo cliente e o nome da função a ser assumida: **CustomerDefaultAdminRole**.
Agora que você tem acesso, pode criar novas funções do IAM para continuar acessando seu ambiente. Se você quiser aproveitar o SAML Federation para sua conta do CMA, consulte [Habilitar usuários federados do SAML 2.0 para acessar o AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) Management Console.
# Conectando seu CMA com o Transit Gateway
O AMS não gerencia a configuração de rede das contas gerenciadas pelo cliente (CMAs). Você tem a opção de gerenciar sua própria rede usando a AWS APIs (consulte [Soluções de rede) ou conectar-se à rede](https://aws.amazon.com/solutionspace/networking/) de várias contas de landing zone gerenciada pelo AMS, usando o Transit Gateway (TGW) existente implantado no AMS MALZ.
**nota**
Você só pode ter uma VPC conectada ao TGW se o CMA estiver na mesma região da AWS. Para obter mais informações, consulte [Transit Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html).
Para adicionar seu CMA ao Transit Gateway, solicite uma nova rota com a [conta de rede \$1 Adicione o tipo de alteração da rota estática (ct-3r2ckznmt0a59](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html)) e inclua estas informações:
+ **Blackhole**: Verdadeiro para indicar que o alvo da rota não está disponível. Faça isso quando o tráfego da rota estática for descartado pelo Transit Gateway. Falso para rotear o tráfego para o ID de anexo TGW especificado. O valor padrão é falso.
+ **DestinationCidrBlock**: o intervalo IPV4 CIDR usado para correspondências de destino. As decisões de roteamento são baseadas na correspondência mais específica. Exemplo: `10.0.2.0/24`.
+ **TransitGatewayAttachmentId**: O ID do anexo TGW que servirá como destino da tabela de rotas. Se **Blackhole** for falso, esse parâmetro será obrigatório, caso contrário, deixe esse parâmetro em branco. Exemplo: `tgw-attach-04eb40d1e14ec7272`.
+ **TransitGatewayRouteTableId**: O ID da tabela de rotas do TGW. Exemplo: `tgw-rtb-06ddc751c0c0c881c`.
**Conectando uma nova VPC gerenciada pelo cliente à rede AMS Multi-Account Landing Zone (criando um anexo TGW** VPC):
1. Na sua conta de rede de várias contas na landing zone, abra o console da [Amazon VPC](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateways**. Registre o ID TGW do gateway de trânsito que você vê.
1. Na sua conta gerenciada pelo cliente, abra o console [da Amazon VPC](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateway Attachments > Create Transit **Gateway** Attachments**. Faça essas escolhas:
1. Para a **ID do Transit Gateway**, escolha a ID do Transit Gateway que você registrou na Etapa 2.
1. Em **Tipo de anexo**, escolha **VPC**.
1. Como opção, em **VPC Attachment (Anexo da VPC)**, insira um nome para **Attachment name tag (Tag de nome do anexo)**.
1. Escolha se deseja ativar o **DNS Support and **IPv6 Support****.
1. Em **ID da VPC**, escolha a VPC a ser anexada ao gateway de trânsito. Essa VPC precisa estar associada a pelo menos uma sub-rede.
1. Em **Sub-rede IDs**, selecione uma sub-rede para cada zona de disponibilidade a ser usada pelo gateway de trânsito para rotear o tráfego. É necessário selecionar pelo menos uma sub-rede. Você pode selecionar somente uma sub-rede por zona de disponibilidade.
1. Escolha **Create attachment (Criar anexo)**. Registre a ID do anexo TGW recém-criado.
**Associando o anexo TGW a uma tabela de rotas**:
Decida a qual tabela de rotas do TGW você deseja associar a VPC. Recomendamos criar uma nova tabela de rotas de aplicativos para Customer Managed VPCs enviando uma RFC Deployment \$1 Managed landing zone \$1 Networking account \$1 Create transit gateway route table (ct-3dscwaeyi6cup). Para associar o anexo VPC ou TGW à tabela de rotas selecionada, envie uma RFC Deployment \$1 Managed landing zone \$1 Networking account \$1 Associate TGW attachment (ct-3nmhh0qr338q6) na conta Networking.
**Crie rotas nas tabelas de rotas do TGW para se conectar a essa VPC:**
1. Por padrão, essa VPC não conseguirá se comunicar com nenhuma outra VPCs na sua rede de zona de destino de várias contas.
1. Decida com seu arquiteto de soluções com o que VPCs você deseja que essa VPC gerenciada pelo cliente se comunique. Envie uma implantação \$1 Managed landing zone \$1 Conta de rede \$1 Adicione uma rota estática (ct-3r2ckznmt0a59) RFC à conta de rede para criar as rotas TGW de que você precisa.
**nota**
Este CT (ct-3r2ckznmt0a59) não permite adicionar rotas estáticas à tabela de rotas principal EgressRouteDomain; se seu CMA precisar permitir tráfego de saída, envie um RFC Management \$1 Other \$1 Other (MOO) com ct-0xdawir96cy7k.
**Configurando suas tabelas de rotas de VPC para apontar para o gateway de trânsito da zona de aterrissagem multiconta do AMS**:
Decida com seu arquiteto de soluções qual tráfego você deseja enviar para o gateway de trânsito do AMS Multi-Account Landing Zone. Atualize suas tabelas de rotas de VPC para enviar tráfego para o anexo TGW criado anteriormente
# Obter ajuda operacional com suas contas gerenciadas pelo cliente
O AMS pode ajudá-lo a operar as cargas de trabalho que você implantou em suas contas gerenciadas pelo cliente integrando a conta ao AMS Accelerate. Com o AMS Accelerate, você pode se beneficiar de serviços operacionais, como monitoramento e alertas, gerenciamento de incidentes, gerenciamento de segurança e gerenciamento de backup, sem passar por uma nova migração, passar por períodos de inatividade ou alterar a forma como você usa. AWS O AMS Accelerate também oferece um complemento de patch opcional para cargas de trabalho EC2 baseadas que exigem patches regulares. Com o AMS Accelerate, você continua usando, configurando e implantando todos os AWS serviços de forma nativa ou com suas ferramentas preferidas; como você faz com as contas gerenciadas pelo cliente avançado do AMS. Você usa seus mecanismos preferidos de acesso e mudança, enquanto o AMS aplica práticas comprovadas que ajudam a escalar sua equipe, otimizar custos, aumentar a segurança e a eficiência e melhorar a resiliência. Para saber mais, consulte a [descrição do serviço Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html).
Para integrar sua conta gerenciada pelo cliente ao Accelerate, entre em contato com seu CSDM e siga as etapas em [Introdução](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/getting-started-acc.html) ao AMS Accelerate.
**nota**
As contas do AMS Accelerate no AMS Advanced não têm gerenciamento de alterações do AMS (solicitações de alteração ou RFCs) nem o console do AMS Advanced. Em vez disso, eles têm o console e a funcionalidade do AMS Accelerate.
# Conta do AMS Tools (migrando cargas de trabalho)
Sua conta de ferramentas Multi-Account Landing Zone (com VPC) ajuda a acelerar os esforços de migração, aumenta sua posição de segurança, reduz custos e complexidade e padroniza seu padrão de uso.
Uma conta de ferramentas fornece o seguinte:
+ Um limite bem definido para acesso às instâncias de replicação para integradores de sistemas fora de suas cargas de trabalho de produção.
+ Permite criar uma câmara isolada para verificar se há malware em uma carga de trabalho ou rotas de rede desconhecidas antes de colocá-la em uma conta com outras cargas de trabalho.
+ Como uma configuração de conta definida, ela fornece um tempo mais rápido de integração e configuração para migrar cargas de trabalho.
+ Rotas de rede isoladas para proteger o tráfego do local -> -> Conta de ferramentas CloudEndure -> Imagem ingerida pelo AMS. Depois que uma imagem é ingerida, você pode compartilhá-la com a conta de destino por meio de um AMS Management \$1 Advanced stack components \$1 AMI \$1 Share (ct-1eiczxw8ihc18) RFC.
Diagrama de arquitetura de alto nível:
![\[Conta da AWS structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/high-level-diagram_v1.png)
Use o tipo de alteração Deployment \$1 Managed landing zone \$1 Management account \$1 Create tools account (com VPC) (ct-2j7q1hgf26x5c) para implantar rapidamente uma conta de ferramentas e instanciar um processo de ingestão de carga de trabalho em um ambiente de zona de destino com várias contas. Consulte [Conta de gerenciamento, Conta de ferramentas: criação (com VPC](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-malz-master-acct-create-tools-acct-col.html)).
**nota**
Recomendamos ter duas zonas de disponibilidade (AZs), já que esse é um hub de migração.
Por padrão, o AMS cria os dois grupos de segurança a seguir (SGs) em cada conta. Confirme se esses dois SGs estão presentes. Se eles não estiverem presentes, abra uma nova solicitação de serviço com a equipe do AMS para solicitá-los.
SentinelDefaultSecurityGroupPrivateOnlyEgressAll
InitialGarden-SentinelDefaultSecurityGroupPrivateOnly
Garanta que CloudEndure as instâncias de replicação sejam criadas na sub-rede privada, onde há rotas de volta para o local. Você pode confirmar isso garantindo que as tabelas de rotas da sub-rede privada tenham uma rota padrão de volta para o TGW. No entanto, realizar um corte CloudEndure de máquina deve ir para a sub-rede privada “isolada”, onde não há nenhuma rota de volta para o local, somente o tráfego de saída da Internet é permitido. É fundamental garantir que a transferência ocorra na sub-rede isolada para evitar possíveis problemas nos recursos locais.
Pré-requisitos:
1. Nível de suporte **Plus** ou **Premium**.
1. A conta do aplicativo IDs para a chave KMS em que AMIs eles são implantados.
1. A conta de ferramentas, criada conforme descrito anteriormente.
# AWS Serviço de migração de aplicativos (AWS MGN)
[AWS O Application Migration Service](https://aws.amazon.com/application-migration-service/) (AWS MGN) pode ser usado em sua conta do MALZ Tools por meio da função `AWSManagedServicesMigrationRole` IAM que é criada automaticamente durante o provisionamento da conta do Tools. Você pode usar o AWS MGN para migrar aplicativos e bancos de dados executados em versões compatíveis dos sistemas [operacionais](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html) Windows e Linux.
Para up-to-date obter mais informações sobre Região da AWS suporte, consulte [a Lista de serviços AWS regionais](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Se sua preferência não Região da AWS for suportada atualmente pela AWS MGN, ou se o sistema operacional no qual seus aplicativos são executados não for atualmente suportado pela AWS MGN, considere usar a [CloudEndure Migração](https://console.cloudendure.com/#/register/register) em sua conta de Ferramentas.
**Solicitando a inicialização do AWS MGN**
O AWS MGN deve ser [inicializado](https://docs.aws.amazon.com/mgn/latest/ug/mandatory-setup.html) pelo AMS antes do primeiro uso. Para solicitar isso para uma nova conta de Ferramentas, envie um RFC de Gerenciamento \$1 Outro \$1 Outro da conta de Ferramentas com estes detalhes:
```
RFC Subject=Please initialize AWS MGN in this account
RFC Comment=Please click 'Get started' on the MGN welcome page here:
[ https://console.aws.amazon.com/mgn/home?region=*MALZ\$1PRIMARY\$1REGION*\$1/welcome](https://console.aws.amazon.com/mgn/home?region=AP-SOUTHEAST-2#/welcome) using all default values
to 'Create template' and complete the initialization process.
```
Depois que o AMS concluir com êxito o RFC e inicializar o AWS MGN em sua conta de Ferramentas, você poderá usá-lo `AWSManagedServicesMigrationRole` para editar o modelo padrão de acordo com seus requisitos.
![\[AWS MGN, Serviço de configuração de migração de aplicativos.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/aws_mgn_firstrun.png)
# Habilitar o acesso à nova conta do AMS Tools
Depois que a conta de ferramentas é criada, o AMS fornece um ID de conta. Sua próxima etapa é configurar o acesso à nova conta. Siga estas etapas.
1. Atualize os grupos apropriados do Active Directory para a conta apropriada IDs.
As novas contas criadas pelo AMS são provisionadas com a política de funções e com uma ReadOnly função para permitir que os usuários arquivem. RFCs
A conta Tools também tem uma função e um usuário adicionais do IAM disponíveis:
+ Perfil do IAM: `AWSManagedServicesMigrationRole`
+ Usuário do IAM: `customer_cloud_endure_user`
1. Solicite políticas e funções para permitir que os membros da equipe de integração de serviços configurem o próximo nível de ferramentas.
Navegue até o console do AMS e registre o seguinte RFCs:
1. Crie uma chave KMS. Use [Criar chave KMS (automático)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-auto-col.html) ou [Criar chave KMS (revisão obrigatória](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-rr-col.html)).
Ao usar o KMS para criptografar recursos ingeridos, o uso de uma única chave KMS que é compartilhada com o restante das contas do aplicativo Multi-Account Landing Zone fornece segurança para imagens ingeridas, onde elas podem ser descriptografadas na conta de destino.
1. Compartilhe a chave KMS.
Use o tipo de alteração Gerenciamento \$1 Componentes avançados da pilha \$1 Chave KMS \$1 Compartilhar (revisão obrigatória) (ct-05yb337abq3x5) para solicitar que a nova chave KMS seja compartilhada com as contas do aplicativo onde residirá a ingestão. AMIs
Exemplo de gráfico da configuração final de uma conta:
![\[AWS architecture diagram showing Migration VPC, IAM, and Permissions with various components and connections.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/WIGS_Account_ExpandedV1.png)
# Exemplo de política de IAM CloudEndure pré-aprovada pelo AMS
Para ver uma CloudEndure política IAM pré-aprovada pelo AMS: Descompacte o arquivo de [exemplo do WIGS Cloud Endure Landing Zone](samples/wigs-ce-lz-examples.zip) e abra o. `customer_cloud_endure_policy.json`
# Testando a conectividade e a end-to-end configuração da conta do AMS Tools
1. Comece configurando CloudEndure e instalando o CloudEndure agente em um servidor que será replicado para o AMS.
1. Crie um projeto em CloudEndure.
1. Insira as AWS credenciais compartilhadas quando você executou os pré-requisitos, por meio do gerenciador de segredos.
1. Nas **configurações de replicação**:
1. Selecione os dois grupos de segurança “Sentinel” do AMS (somente privado e EgressAll) para a **opção Escolher os grupos de segurança a serem aplicados aos servidores de replicação**.
1. Defina as opções de transição para as máquinas (instâncias). Para obter informações, consulte [a Etapa 5. Cortar](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-factory-cloudendure/step5.html)
1. **Sub-rede**: sub-rede privada.
1. **Grupo de segurança**:
1. Selecione os dois grupos de segurança “Sentinel” do AMS (somente privado e EgressAll).
1. As instâncias de transferência precisam se comunicar com o Active Directory (MAD) gerenciado pelo AMS e com endpoints públicos: AWS
1. **IP elástico**: nenhum
1. **IP público**: não
1. **Função do IAM: perfil** de customer-mc-ec 2 instâncias
1. Defina as tags de acordo com sua convenção interna de marcação.
1. Instale o CloudEndure agente na máquina e procure a instância de replicação que aparecerá na sua conta do AMS no EC2 console.
O processo de ingestão do AMS:
![\[Flowchart showing AMS ingestion process steps from customer instance to application deployment.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/Ingestion_Process_v1.png)
# Higiene da conta AMS Tools
Você vai querer limpar depois de concluir que a conta compartilhou a AMI e não precisa mais das instâncias replicadas:
+ WIGs Ingestão de pós-instância:
+ Instância de transição: no mínimo, interrompa ou encerre essa instância, após a conclusão do trabalho, por meio do console da AWS
+ Backups de AMI de pré-ingestão: remova quando a instância for ingerida e a instância local encerrada
+ Instâncias ingeridas pelo AMS: desative a pilha ou encerre depois que a AMI for compartilhada
+ Ingerido pelo AMS AMIs: exclua quando o compartilhamento com a conta de destino for concluído
+ Limpeza do fim da migração: documente os recursos implantados por meio do modo Desenvolvedor para garantir que a limpeza ocorra regularmente, por exemplo:
+ Grupos de segurança
+ Recursos criados por meio do Cloud-formation
+ Rede ACK
+ Sub-rede
+ VPC
+ Tabela de rotas
+ Perfis
+ Usuários e contas
# Migração em grande escala - Migration Factory
Consulte [Apresentação da solução AWS CloudEndure Migration Factory](https://aws.amazon.com/about-aws/whats-new/2020/06/introducing-aws-cloudendure-migration-factory-solution/).