本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 第 2 步:Accelerate 中的入职管理资源
这是入职管理资源流程的概述。
**您接受条款**
您的云服务交付经理 (CSDM) 将指导您完成验收流程。您需要接受条款和条件 AWS 区域,选择附加组件和服务等级协议 (SLA)。
**您向 AMS 角色授予权限**
您需要授予对 AMS 流程和云架构师的访问权限。为此,您可以为每个角色创建一个 CloudFormation 堆栈。[创建 AMS 角色的模板](acc-onb-roles.md)然后看[为加速`aws_managedservices_onboarding_role` CloudFormation 而创作](acc-onb-create-roles-with-cf.md)。有关更多详细信息,请参阅[AMS 中的访问管理加速](acc-access.md)。
**AMS 会审查您的配置**
您的云架构师 (CA) 还会查找您的账户中可能存在的配置问题,例如服务控制策略 (SCPs),以及可能阻止 AMS 部署 AMS 所需的工具和资源的安全发现。您的 CA 会与您合作,帮助您补救发现并移除 AMS 工具和资源部署的所有障碍。
**AMS 会审查您的 AWS CloudTrail 跟踪配置**
您的云架构师 (CA) 将审查您的 CloudTrail 跟踪配置,并确认您是希望 AMS 部署全球 CloudTrail 跟踪,还是将 Accelerate 与您的 CloudTrail 账户或组织跟踪资源集成。如果您选择将 Accelerate 与您的 CloudTrail 跟踪集成,则您的 CA 将指导您完成对 CloudTrail 跟踪资源配置的必要更新。
**AMS 部署管理资源**
AMS 团队部署工具和 AWS 资源来提供 AMS Accelerate 的不同服务。完成后,AMS 已建立 AWS Managed Services 账户,AMS 会通知您您的账户已激活。
*入职管理资源*阶段到此结束。您可以直接进入入职流程的下一步:[第 3 步:使用默认策略加载 AMS 功能](acc-get-feature-config.md).
**注意**
现在您的账户已激活,您可以选择执行以下任一任务:
使用 Support Center 控制台为 AWS 基础设施创建事件和服务请求。请参阅[AMS Accelerate 中的事件报告、服务请求和账单问题](acc-supp-ex.md)。
在您的账户中查看 AMS 部署的 AWS Config 规则的一致性状态。[加速中的配置合规性](acc-sec-compliance.md)
定位和分析 GuardDuty 以及 Macie(可选)调查结果。请参阅[使用监视器 GuardDuty](acc-sec-data-protect.md#acc-sec-data-protect-gd)。
访问和审核 CloudTrail 日志
追踪您的 AMS Accelerate 账户中的变化。请参阅[跟踪您的 AMS Accelerate 账户中的更改](acc-change-record.md)。
使用资源标记器创建标签。请参阅[加速资源标记器](acc-resource-tagger.md)。
申请 Patch、Backup 和 AWS Config 报告。请参阅[报告和选项](ams-reporting.md)。
# 查看并更新您的配置,让 AMS Accelerate 能够使用您的 CloudTrail 跟踪
AMS Acc AWS CloudTrail elerate 依靠登录来管理您账户中所有资源的审计和合规性。在入职期间,您可以选择 Accelerate 是在您的主要 AWS 区域部署 CloudTrail 跟踪,还是使用现有 CloudTrail 账户或组织跟踪生成的事件。如果您的账户未配置跟踪,则 Accelerate 将在入职期间部署托管 CloudTrail 跟踪。
**重要**
CloudTrail 只有当您选择将 AMS Accelerate 与您的 CloudTrail 账户或组织跟踪集成时,才需要进行日志管理配置。
## 与您的云架构师 (CA) 一起查看您的 CloudTrail 跟踪配置、Amazon S3 存储桶策略和 CloudTrail 活动交付目的地的 AWS KMS 密钥策略
在 Accelerate 可以使用您的 CloudTrail 跟踪之前,您必须与您的云架构师 (CA) 合作审查和更新您的配置以满足 Accelerate 的要求。如果您选择将 Accelerate 与您的 CloudTrail 组织跟踪集成,则您的 CA 会与您合作更新您的 CloudTrail 事件交付目标 Amazon S3 存储桶和 AWS KMS 密钥策略,以允许从您的 Accelerate 账户进行跨账户查询。您的 Amazon S3 存储桶可以位于由 Accelerate 管理的账户中,也可以位于您管理的账户中。在入职期间,Accelerate 会验证是否可以向您的 CloudTrail 组织跟踪事件交付目的地进行查询,如果查询失败,则会暂停入门。您与您的 CA 合作更正这些配置,以便可以恢复入职流程。
### 查看并更新您的 CloudTrail 账户或组织跟踪配置
要集成加速 CloudTrail 日志管理您的 CloudTrail 账户或组织跟踪资源,需要进行以下配置:
+ 您的 CloudTrail 跟踪已配置为记录所有事件 AWS 区域。
+ 您的 CloudTrail 跟踪已启用[全局服务事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html#cloudtrail-concepts-global-service-events)。
+ 您的 CloudTrail 账户或组织跟踪记录所有[管理事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events),包括[读取和写入事件, AWS KMS 并且](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#read-write-events-mgmt) Amazon RDS Data API 事件日志已启用。
+ 您的 CloudTrail 跟踪已启用[日志文件完整性验证](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html)。
+ 您的 CloudTrail 跟踪的 Amazon S3 存储桶使用 [SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) 或 [SS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) E-KMS 加密来传输事件以加密事件。
+ 您的 CloudTrail 跟踪向其发送事件的 Amazon S3 存储桶已启用[服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)。
+ 您的 CloudTrail 跟踪发送事件的 Amazon S3 存储桶的[生命周期配置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)可将您的 CloudTrail 跟踪数据保留至少 18 个月。
+ 您的 CloudTrail 跟踪向其发送事件的 Amazon S3 存储桶已将[对象所有权](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)设置为强制存储桶所有者。
+ Accelerate 可以访问您的 CloudTrail 跟踪向其发送事件的 Amazon S3 存储桶。
#### 查看并更新您的 CloudTrail 活动交付目的地的 Amazon S3 存储桶政策
在入职期间,您需要与您的云架构师 (CA) 合作,将 Amazon S3 存储桶策略声明添加到您的 CloudTrail 活动交付目的地。为了让您的用户能够从您的 Accelerate 账户中查询 CloudTrail 事件交付目标 Amazon S3 存储桶中的更改,您可以在组织中由 Accelerate 管理的每个账户中部署一个统一命名的 IAM 角色,并将其添加到所有 Amazon S3 存储桶策略声明的`aws:PrincipalArn`列表中。使用此配置,您的用户可以使用 Athena 在 Accelerate 中查询和分析您账户的 CloudTrail 组织跟踪事件。有关如何更新 Amazon S3 存储桶策略的更多信息,请参阅亚马逊*简单存储服务用户指南中的使用 Amazon S3 控制台添加存储*[桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。
**重要**
只有在 Accelerate 与将事件传送到集中式 S3 存储桶的 CloudTrail 跟踪集成时,才需要更新您的 Amazon S3 存储桶策略。Accelerate 不支持与传送到集中存储桶但 AWS 组织下没有账户的 CloudTrail 跟踪集成。
**注意**
在更新您的 Amazon S3 存储桶策略之前,请将*red*字段替换为适用的值:
*amzn-s3-demo-bucket*使用包含您账户中的跟踪事件的 Amazon S3 存储桶的名称。
*your-organization-id*使用您的账户所属 AWS 组织的 ID。
*your-optional-s3-log-delievery-prefix*使用您的 CloudTrail 跟踪的 Amazon S3 存储桶传送前缀。例如`my-bucket-prefix`,[您在创建 CloudTrail 跟踪时可能已设置的内容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。
如果您尚未为跟踪配置 Amazon S3 存储桶传送前缀,请从以下 Amazon S3 存储桶策略声明中删除 *your-optional-s3-log-delievery-prefix* “” 和继续的正斜杠 (`/`)。
以下三个 Amazon S3 存储桶策略声明授予 Accelerate 访问权限,可以从您的 AWS Accelerate 账户中检索配置并运行 Athena 查询,[以分析 CloudTrail ](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html)您的事件交付目标 Amazon S3 存储桶中的事件。
```
{
"Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringLike": {
"s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
#### 查看并更新 CloudTrail 活动投递目的地的 AWS KMS 关键政策
在入职期间,您需要与您的云架构师 (CA) 合作更新用于加密传送到您的 Amazon S3 存储桶的 CloudTrail 跟踪事件的 AWS KMS 密钥策略。确保将引用 AWS KMS 密钥策略声明附加到现有 AWS KMS 密钥中。这会将 Accelerate 配置为与您现有的 CloudTrail 跟踪事件传输目标 Amazon S3 存储桶集成并解密事件。为了让您的用户能够从您的 Accelerate 账户中查询 CloudTrail 事件交付目标 Amazon S3 存储桶中的更改,您可以在组织中由 Accelerate 管理的每个账户中部署一个统一命名的 IAM 角色,并将其添加到 “aws:PrincipalArn” 列表中。使用此配置,您的用户可以查询事件。
有不同的 AWS KMS 关键政策更新方案需要考虑。您可能只为 CloudTrail 跟踪配置了用于加密所有事件的 AWS KMS 密钥,而没有加密您的 Amazon S3 存储桶中对象的 AWS KMS 密钥。或者,您可能有一个 AWS KMS 密钥用于加密传递的事件 CloudTrail,另一个 AWS KMS 密钥用于加密存储在您的 Amazon S3 存储桶中的所有对象。当您有两个 AWS KMS 密钥时,您可以更新每个密钥的密 AWS KMS 钥策略,以授予 Accelerate 访问您的 CloudTrail 事件的权限。在更新策略之前,请务必将参考 AWS KMS 密 AWS KMS 钥政策声明修改为现有密钥策略。有关如何更新 AWS KMS 密钥策略的更多信息,请参阅*AWS Key Management Service 用户指南*中的[更改密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。
**重要**
只有在 Accelerate 与启用了日志文件 SSE-KMS 加密的 CloudTrail 跟踪集成时,您才需要更新密 AWS KMS 钥策略。
**注意**
在将此 AWS KMS 密钥策略声明应用于用于加密发送到 Amazon S3 存储桶 AWS CloudTrail 的事件的 AWS KMS 密钥之前,请将以下*red*字段替换为适用的值:
*YOUR-ORGANIZATION-ID*使用您的账户所属 AWS 组织的 ID。
[本 AWS KMS 关键政策声明授予 Accelerate 访问从组织中每个账户发送到 Amazon S3 存储桶的解密和查询跟踪事件的权限,访问权限仅限于 Athena,Accelerate 使用它来查询和分析事件。 CloudTrail ](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html) 。
```
{
"Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
# 创建 AMS 角色的模板
以下 AMS 角色向您的 AMS 云架构师 (CA) 授予权限。以下 zip 文件包含 Terraform 代码和 CloudFormation 模板,可简化 IAM 角色、权限策略和信任策略的创建。有关更多信息,请咨询您的 CA。
| 角色名称 | 必填者 | 示例模板 |
| --- |--- |--- |
| `aws_managedservices_onboarding_role` | AMS 人员仅在入职期间使用 | [onboarding\$1role\$1minimal.zip](samples/onboarding_role_minimal.zip) |
**注意**
选择并下载示例模板(每个角色一个)后,您将把这些模板作为 CloudFormation 堆栈的定义上传到中[为加速`aws_managedservices_onboarding_role` CloudFormation 而创作](acc-onb-create-roles-with-cf.md)。
# 为加速`aws_managedservices_onboarding_role` CloudFormation 而创作
您可以 CloudFormation 从中创建 AWS Identity and Access Management 角色 AWS 管理控制台。`aws_managedservices_onboarding_role`或者,您可以使用中的命令 AWS CloudShell 来部署角色。
## 使用 AWS 管理控制台
**注意**
开始之前,请准备好每个角色的 JSON 或 YAML 文件以供上传。有关更多信息,请参阅 [创建 AMS 角色的模板](acc-onb-roles.md)。
要从中创建角色 AWS 管理控制台,请完成以下步骤:
1. 登录 AWS 管理控制台 并在 [https://console.aws.amazon.com/cloudformat](https://console.aws.amazon.com/cloudformation/) ion 上打开 CloudFormation 控制台。
![\[CloudFormation Stacks interface showing no stacks and options to create or view guide.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/image1.png)
1. 选择**创建堆栈 > 使用新资源(标准)**。您将看到以下页面。
![\[Create stack interface with options to specify template and upload template file.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/image2.png)
1. 选择**上传模板文件**,上传 IAM 角色的 JSON 或 YAML 文件,然后选择**下一步**。您将看到以下页面。
![\[Form for specifying stack details, including stack name and parameters fields.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/image3.png)
1. 在堆栈名称字段中输入**堆栈名称 **ams-onboarding-role**** “”。**DateOfExpiry**使用 “YYYY-MM-DDT 00:00:00 Z” 格式输入 a(建议自当前日期起 30 天)。继续向下滚动并选择 “下一步”,直到到达此页面:
![\[Capabilities section with AWSIAM role requirement and checkbox for custom names.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/image4.png)
1. 确保选中该复选框,然后选择**创建堆栈**。
1. 确保堆栈已成功创建。
## 使用来自的命令 AWS CloudShell
要部署 `aws_managedservices_onboarding_role` IAM 角色,请在中运行以下命令 [AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html):
------
#### [ AWS CLI ]
```
curl -s "https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip" -o "onboarding_role_minimal.zip"
unzip -q -o onboarding_role_minimal.zip
aws cloudformation create-stack \
--stack-name "aws-managedservices-onboarding-role" \
--capabilities CAPABILITY_NAMED_IAM \
--template-body file://onboarding_role_minimal.json \
--parameters ParameterKey=DateOfExpiry,ParameterValue="`date -d '+30 days' -u '+%Y-%m-%dT%H:%M:%SZ'`"
```
------
#### [ AWS Tools for PowerShell ]
```
Invoke-WebRequest -Uri 'https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip' -OutFile 'onboarding_role_minimal.zip'
Expand-Archive -Path 'onboarding_role_minimal.zip' -DestinationPath . -Force
New-CFNStack `
-StackName 'aws-managedservices-onboarding-role' `
-Capability CAPABILITY_NAMED_IAM `
-TemplateBody (Get-Content 'onboarding_role_minimal.json' -Raw) `
-Parameter @{ParameterKey = "DateOfExpiry"; ParameterValue = (Get-Date).AddDays(30).ToString('yyyy-MM-ddTHH:mm:ssZ')}
```
------
创建角色后,请与您的云架构师 (CA) 合作完成该[第 2 步:Accelerate 中的入职管理资源](acc-get-mgmt-resource-onboard.md)过程。在 AMS 通知您您的账户处于活动状态后,您就可以启动实例了。