本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 多账号着陆区账号
<a name="malz-net-arch-accounts"></a>

**Topics**
+ [管理账户](management-account.md)
+ [社交账号](networking-account.md)
+ [共享服务账户](shared-services-account.md)
+ [日志存档账户](logging-account.md)
+ [安全账户](security-account.md)
+ [应用程序账户类型](application-account.md)
+ [AMS 工具账户（迁移工作负载）](tools-account.md)

# 管理账户
<a name="management-account"></a>

管理账户是您开始使用 AMS 时的初始 AWS 账户。它使用 AWS Organizations 作为管理账户（也称为支付所有成员账户费用的付款人账户），这使该账户能够创建成员账户并对其进行财务管理。它包含 AWS landing zone (ALZ) 框架、账户配置堆栈集、AWS 组织服务控制策略 (SCPs) 等。

有关使用管理账户的更多信息，请参阅[管理账户的最佳实践](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html)。

下图简要概述了管理账户中包含的资源。

![\[管理账户 overview showing AMS Customer Region and various AWS 服务 and features.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/management-account.png)


## 管理账户中的资源
<a name="management-account-resources"></a>

除上述标准服务外，在入职期间不会在管理账户中创建额外的 AWS 资源。在加入 AMS 期间，需要输入以下内容：

+ *管理账户 ID*：最初由您创建的 AWS 账户 ID。
+ *核心账户电子邮件*：提供要与每个核心账户关联的电子邮件：网络、共享服务、日志和安全账户。
+ *服务区域*：提供您的 AMS landing zone 的所有资源都将部署到的 AWS 区域。

# 社交账号
<a name="networking-account"></a>

Networking 账户充当 AMS 多账户 landing zone 账户、本地网络和传出 Internet 的出口流量之间进行网络路由的中心枢纽。此外，该账户还包含公共 DMZ 堡垒，这些堡垒是 AMS 工程师访问 AMS 环境中主机的入口点。有关详细信息，请参阅以下网络帐户的高级示意图。

![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malzNetworkAccount.png)


# 网络账户架构
<a name="malz-network-arch"></a>

下图描绘了 AMS 多账户 landing zone 环境，显示了账户间的网络流量，并且是高可用性设置的示例。

 

![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW-2.png)


![\[Diagram showing network traffic flow between AWS 账户, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)


AMS 根据我们的标准模板和您在入职期间提供的选择选项为您配置网络的各个方面。标准的 AWS 网络设计适用于您的 AWS 账户，然后为您创建一个 VPC，并通过 VPN 或 Direct Connect 连接到 AMS。有关 Direct Connect 的更多信息，请参阅 [AWS Direct Connect](https://aws.amazon.com/directconnect/)。标准 VPCs 包括 DMZ、共享服务和应用程序子网。在入职过程中， VPCs 可能会要求并创建其他内容以满足您的需求（例如，客户部门、合作伙伴）。入门后，您将获得一张网络图：一份环境文档，说明您的网络是如何设置的。

**注意**  
有关所有活动服务的默认服务限制和限制的信息，请参阅 [AWS 服务限制](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)文档。

我们的网络设计围绕 Amazon [的 “最低权限原则”](https://en.wikipedia.org/wiki/Principle_of_least_privilege) 构建。为了实现这一目标，除了来自可信网络的流量外，我们会通过 DMZ 路由所有流量（入口和出口）。唯一可信的网络是通过使用 VPN 和 AWS Direct Connect (DX) 在您的本地环境和 VP and/or C 之间配置的网络。通过使用堡垒实例授予访问权限，从而防止直接访问任何生产资源。您的所有应用程序和资源都位于可通过公共负载均衡器访问的私有子网中。公共出口流量通过出口 VPC（在网络账户中）中的 NAT 网关流向 Internet Gateway，然后流向互联网。或者，流量可以通过您的 VPN 或 Direct Connect 流向您的本地环境。

# 与 AMS 多账户 landing zone 环境的专用网络连接
<a name="malz-net-arch-private-net"></a>

AWS 通过虚拟专用网络 (VPN) 连接或使用 AWS Direct Connect 的专用线路提供私有连接。在您的多账户环境中，私有连接是使用下述方法之一设置的：
+ 使用 Transit Gateway 实现集中边缘
+ 将 Direct Connect (DX) and/or VPN 连接到账户虚拟私有云 () VPCs

# 使用公交网关实现集中边缘连接
<a name="malz-net-arch-cent-edge"></a>

AWS Transit Gateway 是一项服务，可让您 VPCs 和您的本地网络连接到单个网关。Transit Gateway (TGW) 可用于整合您现有的边缘连接并通过单个 ingress/egress 点进行路由。Transit 网关是在您的 AMS 多账户环境的网络账户中创建的。有关公交网关的更多详细信息，请参阅 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)。

AWS Direct Connect (DX) 网关用于通过中转虚拟接口将您的 DX 连接连接到 VPCs 或 VPNs 连接到您的传输网关。将 Direct Connect 网关与中转网关关联。然后，为您与 Direct Connect 网关的 AWS Direct Connect 连接创建一个传输虚拟接口。有关 DX 虚拟接口的信息，请参阅 [AWS Direct Connect 虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)。

此配置提供以下好处。您可以：
+ 管理同一 AWS 区域中的多个 VPCs 或 VPNs 多个连接的单个连接。
+ 将前缀从本地发布到 AWS，从 AWS 发布到本地。

**注意**  
[有关在 AWS 服务中使用 DX 的信息，请参阅弹性工具包部分 Classic。](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html)有关更多信息，请参阅 T [ransit Gateway 关联](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html)。

![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malz-cent-edge.png)


为了提高连接的弹性，我们建议您将来自不同的 AWS Direct Connect 位置的至少两个传输虚拟接口连接到 Direct Connect 网关。有关更多信息，请参阅 [AWS Direct Connect 弹性建议](https://aws.amazon.com/directconnect/resiliency-recommendation/)。

# 将 DX 或 VPN 连接到账户 VPCs
<a name="malz-net-arch-dx-vpn"></a>

使用此选项，您的 VPCs AMS 多账户着陆区环境将直接连接到 Direct Connect 或 VPN。流量直接从流向 Direct Connect 或 VPN，无需通过传输网关。 VPCs 

# 社交账户中的资源
<a name="networking-account-resources"></a>

如网络账户图所示，以下组件是在该账户中创建的，需要您输入。

网络账户包含两个 VPCs：**出口 VPC** 和**隔离区 VPC**（也称为外**围** VPC）。

# AWS 网络管理器
<a name="networking-manager"></a>

AWS Network Manager 是一项服务，可让您可视化您的传输网关 (TGW) 网络，而无需向 AMS 支付额外费用。它提供对 AWS 资源和本地网络的集中式网络监控，在拓扑图和地理地图中提供其专用网络的单一全局视图，以及利用率指标，例如字节in/out, packets in/out, packets dropped, and alerts for changes in the topology, routing, and up/down连接状态。有关信息，请参阅[AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/)。

使用以下角色之一访问此资源：
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole

# 出口 VPC
<a name="networking-vpc"></a>

出口 VPC 主要用于向 Internet 的出口流量，由位于最多三个可用区的 public/private 子网组成（）。AZs网络地址转换 (NAT) 网关在公有子网中配置，传输网关 (TGW) VPC 附件在私有子网中创建。来自所有网络的出站或出站互联网流量通过 TGW 通过私有子网进入，然后通过 VPC 路由表路由到 NAT。

对于在公有子网中 VPCs 包含面向公众的应用程序的用户，源自 Internet 的流量包含在该 VPC 中。返回流量不会路由到 TGW 或出口 VPC，而是通过 VPC 中的互联网网关 (IGW) 路由回来。

**注意**  
网络 VPC CIDR 范围：创建 VPC 时，必须以无类域间路由 (CIDR) 块的形式为 VPC 指定 IPv4 地址范围；例如 10.0.16.0/24。这是您的 VPC 的主要 CIDR 块。  
AMS 多账户 landing zone 团队建议范围为 24（具有更多 IP 地址），以便在将来部署其他资源/设备时提供一些缓冲。

# 托管的帕洛阿尔托出口防火墙
<a name="networking-palo-alto"></a>

AMS 提供托管 Palo Alto 出口防火墙解决方案，该解决方案支持对多账户着陆区环境中的所有网络（不包括面向公众的服务）中的所有网络进行互联网绑定出站流量过滤。该解决方案将业界领先的防火墙技术（Palo Alto VM-300）与AMS的基础设施管理功能相结合，可在合规的操作环境中部署、监控、管理、扩展和恢复基础架构。包括Palo Alto Networks在内的第三方无法访问防火墙；它们完全由AMS工程师管理。

## 交通管制
<a name="networking-pa-firewall-traffic"></a>

托管出站防火墙解决方案管理一个域允许列表，该列表由 AMS 必需的域组成，用于备份和补丁等服务，以及您定义的域。当出站 Internet 流量路由到防火墙时，将打开会话，评估流量，如果流量与允许的域相匹配，则将流量转发到目的地。

## 架构
<a name="networking-pa-firewall-arch"></a>

托管出口防火墙解决方案遵循高可用性模式，即根据可用区域的数量部署两到三个防火墙（）。AZs该解决方案利用了默认出口 VPC 中的部分 IP 空间，但还预配置 VPC 扩展 (/24)，用于管理防火墙所需的额外资源。

![\[Network diagram showing Egress VPC with subnets, AMS Firewall VPC Extension, and associated resources.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malz-pa-firewall-arch.png)


## 网络流
<a name="networking-pa-firewall-flow"></a>

![\[AWS network architecture diagram showing Application, Networking, and Shared Services accounts with VPCs and subnets.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malz-pa-firewall-net-flow.png)


![\[Traffic key showing different types of AWS network traffic with color-coded lines.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malz-pa-firewall-net-flow-legend.png)


总体而言，公共出口流量路由保持不变，但流量从出口 VPC 路由到 Internet 的方式除外：

1. 发往互联网的出口流量通过 VPC 路由表发送到 Transit Gateway (TGW)

1. TGW 通过 TGW 路由表将流量路由到出口 VPC

1. VPC 通过私有子网路由表将流量路由到互联网

   1. 在默认的多账户着陆区环境中，互联网流量直接发送到网络地址转换 (NAT) 网关。托管防火墙解决方案重新配置私有子网路由表，改为将默认路由 (0.0.0.0/0) 指向防火墙接口。

防火墙本身包含三个接口：

1. 可信接口：用于接收待处理的流量的私有接口。

1. 不可信接口：用于向互联网发送流量的公共接口。由于防火墙执行 NAT，因此外部服务器接受来自这些公有 IP 地址的请求。

1. 管理接口：用于防火墙 API、更新、控制台等的私有接口。

在所有路由中，流量都保持在同一个可用区 (AZ) 内，以减少跨可用区的流量。只有在发生故障转移 AZs 时，流量才会交叉。

## 修改允许名单
<a name="networking-pa-firewall-allow-list-mod"></a>

入职后，将创建一个名为的默认允许列表，其中包含 AMS 所需的公共端点以及用于修补 Windows 和 Lin `ams-allowlist` ux 主机的公共端点。操作完成后，您可以在 AMS 控制台的 “管理 \$1 托管防火墙 \$1 出站（Palo Alto）” 类别下创建 RFC，以创建或删除允许列表或修改域。请注意，这是`ams-allowlist`无法修改的。RFC 是完全自动化处理的（它们不是手动的）。

## 自定义安全策略
<a name="networking-pa-firewall-custom-security"></a>

安全策略根据流量属性（例如源和目标安全区域、源和目标 IP 地址以及服务）来确定是阻止还是允许会话。全自动支持自定义安全策略 RFCs。 CTs 创建或删除安全策略可以在管理 \$1 托管防火墙 \$1 出站（帕洛阿尔托）类别下找到，编辑现有安全策略的 CT 可以在部署 \$1 托管防火墙 \$1 出站（帕洛阿尔托）类别下找到。您将能够创建新的安全策略、修改安全策略或删除安全策略。

**注意**  
`ams-allowlist`无法修改默认安全策略

## CloudWatch PA 出口仪表板
<a name="networking-pa-firewall-cw-egress"></a>

在中可以找到两个仪表板 CloudWatch 来提供帕洛阿尔托（宾夕法尼亚州）的汇总视图。**AMS-MF-PA-egress-config-Das** hboard 提供了 PA 配置概述、许可名单链接以及包括其属性在内的所有安全策略的列表。可以自定义 **AMS-MF-PA-egress-Dashboard 以过滤流量日志**。例如，要为安全策略创建控制面板，您可以使用以下筛选器创建 RFC：

```
fields @timestamp, @message
| filter @logStream like /pa-traffic-logs/
| filter @message like /<Security Policy Name>/
| parse @message "*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*," as x1, @x2, @x3, @x4, @type, @x6, @x7, @source_ip, @destination_ip, @source_nat_ip, @dest_nat_ip, @rule, @x13, @x14, @application, @x16, @from_zone, @to_zone, @x19, @x20, @x21, @x22, @session_id, @x24, @source_port, @destination_port, @source_nat_port, @destination_nat_port, @x29, @protocol, @action, @bytes, @bytes_sent, @bytes_recieved, @packets, @x36, @x37, @category, @x39, @x40, @x41, @source_country, @destination_country, @x44, @packets_sent, @packets_recieved, @session_end_reason, @x48, @x49, @x50
| display @timestamp, @rule, @action, @session_end_reason, @protocol, @source_ip, @destination_ip, @source_port, @destination_port, @session_id, @from_zone, @to_zone, @category, @bytes_sent, @bytes_recieved, @packets_sent, @packets_recieved, @source_country, @destination_country
```

## 故障转移模型
<a name="networking-pa-firewall-failover"></a>

防火墙解决方案包括两三台帕洛阿尔托 (PA) 主机（每个可用区一台）。健康检查加那利群岛按固定时间表运行，以评估宿主的健康状况。如果主机被识别为运行状况不佳，则会通知 AMS，并通过更改路由表将该 AZ 的流量自动转移到另一可用区中的健康主机。由于运行状况检查工作流程持续运行，因此如果主机由于暂时性问题或手动修复而恢复正常，则流量将转移回主机的正确可用区。

## 扩展
<a name="networking-pa-firewall-scaling"></a>

AMS 监控防火墙的吞吐量和扩展限制。当吞吐量限制超过较低的水位线阈值（CPU/网络）时，AMS 会收到警报。低水机阈值表示资源已接近饱和，达到了 AMS 将随着时间的推移评估指标并伸出援手提出扩展解决方案的地步。

## 备份与还原
<a name="networking-pa-firewall-backup"></a>

备份是在初始启动期间、任何配置更改后按固定时间间隔创建的。初始启动备份是以每台主机为单位创建的，但是调用备份工作流程时，将在所有防火墙主机上进行配置更改和定期间隔备份。AMS 工程师可以在这些窗口之外创建其他备份，或者根据要求提供备份详细信息。

如果需要，AMS 工程师可以恢复配置备份。如果需要恢复，则将在所有主机上进行恢复，以使主机之间的配置保持同步。

当主机需要完全回收实例时，也可以进行恢复。配置新 EC2 实例时，会自动恢复最新的备份。通常，主机不会定期回收，而是预留用于严重故障或必需的 AMI 交换。主机回收是手动启动的，并且在进行回收之前会通知您。

除了防火墙配置备份外，您的特定允许列表规则会单独备份。修改您定义的允许列表规则后，系统会自动创建备份。如果需要，可以由 AMS 工程师恢复允许名单备份。

## 更新
<a name="networking-pa-firewall-updates"></a>

AMS 托管防火墙解决方案需要随着时间的推移进行各种更新，以增加系统的改进、其他功能或对防火墙操作系统 (OS) 或软件的更新。

大多数更改不会影响运行环境，例如更新自动化基础架构，但其他更改（例如防火墙实例轮换或操作系统更新）可能会导致中断。在评估更新可能导致的服务中断时，AMS 将与您协调以适应维护时段。

## 操作员访问权限
<a name="networking-pa-firewall-op-access"></a>

AMS 操作员使用其 ActiveDirectory 凭据登录帕洛阿尔托设备执行操作（例如，修补、响应事件等）。该解决方案保留了标准的 AMS 操作员身份验证和配置更改日志，以跟踪在 Palo Alto 主机上执行的操作。

## 默认日志
<a name="networking-pa-firewall-default-logs"></a>

默认情况下，防火墙生成的日志存储在每个防火墙的本地存储中。随着时间的推移，将根据存储利用率删除本地日志。AMS 解决方案可将日志从计算机实时传送到 CloudWatch 日志；有关更多信息，请参阅[CloudWatch 日志集成](#networking-pa-firewall-cw-logs)。

如果需要，AMS 工程师仍然可以直接从计算机上查询和导出日志。此外，还可以将日志发送到客户拥有的 Panorama；有关更多信息，请参阅[Panorama 集成](#networking-pa-firewall-panorama)。

该解决方案收集的日志如下：


**RFC 状态码**  

| 日志类型 | 说明 | 
| --- | --- | 
| 流量 | 显示每个会话开始和结束的条目。每个条目都包括日期和时间、源和目标区域、地址和端口、应用程序名称、应用于流的安全规则名称、规则操作（允许、拒绝或丢弃）、入口和出口接口、字节数以及会话结束原因。 “类型” 列指示该条目是针对会话的开始还是结束，或者会话是被拒绝还是被删除。“丢弃” 表示阻止流量的安全规则指定了 “任何” 应用程序，而 “拒绝” 表示该规则标识了特定的应用程序。 如果在识别应用程序之前丢弃了流量，例如规则丢弃了特定服务的所有流量，则该应用程序将显示为 “不适用”。 | 
| 威胁 | 显示防火墙生成的每个安全警报的条目。每个条目都包括日期和时间、威胁名称或 URL、源和目标区域、地址和端口、应用程序名称以及警报操作（允许或阻止）和严重性。 类型列表示威胁的类型，例如 “病毒” 或 “间谍软件”；“名称” 列是威胁描述或 URL；“类别” 列是威胁类别（例如 “键盘记录器”）或 URL 类别。 | 
| 网址过滤 | 显示 URL 过滤器的日志，这些过滤器控制对网站的访问以及用户是否可以向网站提交凭据。 | 
| 配置 | 显示每项配置更改的条目。每个条目都包括日期和时间、管理员用户名、进行更改的 IP 地址、客户机类型（Web 界面或 CLI）、命令运行的类型、命令成功还是失败、配置路径以及更改前后的值。 | 
| 系统 | 显示每个系统事件的条目。每个条目都包括日期和时间、事件严重性以及事件描述。 | 
| 警报 | 警报日志记录有关系统生成的警报的详细信息。此日志中的信息也会在警报中报告。请参阅 “定义警报设置”。 | 
| 身份验证 | 显示有关最终用户尝试访问由身份验证策略规则控制访问权限的网络资源时发生的身份验证事件的信息。用户可以使用这些信息来帮助解决访问问题，并根据需要调整用户身份验证策略。结合关联对象，用户还可以使用身份验证日志来识别用户网络上的可疑活动，例如暴力攻击。 或者，用户可以将身份验证规则配置为记录身份验证超时。这些超时与用户只需要对资源进行一次身份验证但可以重复访问该资源的时间段有关。查看有关超时的信息可以帮助用户决定是否以及如何调整超时。 | 
| 统一 | 在单个视图中显示最新的流量、威胁、URL 过滤、 WildFire 提交和数据筛选日志条目。集体日志视图使用户能够一起调查和筛选这些不同类型的日志（而不是单独搜索每个日志集）。或者，用户可以选择要显示的日志类型：单击筛选字段左侧的箭头，然后选择流量、威胁、网址、数据、w and/or ildfire，以仅显示选定的日志类型。 | 

## 活动管理
<a name="networking-pa-firewall-event-mgmt"></a>

AMS 持续监控防火墙的容量、运行状况和可用性。防火墙生成的指标以及 AWS/AMS 生成的指标用于创建警报，AMS 运营工程师将收到这些警报，他们将调查并解决问题。当前警报涵盖以下情况：

事件警报：
+ 防火墙数据平面 CPU 利用率
  + CPU 利用率-数据平面 CPU（处理流量）
+ 防火墙数据平面数据包利用率高于 80%
  + 数据包利用率-数据平面（处理流量）
+ 防火墙数据平面会话利用率
+ 防火墙数据平面会话处于活动状态
+ 聚合防火墙 CPU 利用率
  + 所有的 CPU 利用率 CPUs
+ 按可用区进行故障转移
  + 可用区发生故障转移时发出警报
+ 不健康的 Syslog 主机
  + Syslog 主机未通过运行状况检查

管理警报：
+ Health Check 监控器故障警报
  + 当运行状况检查工作流程意外失败时
  + 这适用于工作流程本身，而不是防火墙运行状况检查失败的情况
+ 密码轮换失败警报
  + 当密码轮换失败时
  + API/服务用户密码每 90 天轮换一次

## 指标
<a name="networking-pa-firewall-metrics"></a>

所有指标都被捕获并存储 CloudWatch 在网络账户中。可以通过获得网络帐户的控制台访问权限并导航到控制 CloudWatch 台来查看这些内容。**可以在指标选项卡下查看单个指标，也可以通过导航到 “控制面板” 选项卡并选择 AMS-MF-PA-egress-Dashboard 来查看所选指标的单窗格仪表板视图和汇总指标。**

自定义指标：
+ 运行状况检查
  + 命名空间: AMS/MF/PA/Egress
    + PARouteTableConnectionsByAZ
    + PAUnhealthyByInstance
    + PAUnhealthyAggregatedByAZ
    + PAHealthCheckLockState
+ 已生成防火墙
  + 命名空间：AMS/MF/PA/Egress/<instance-id>
    + DataPlaneCPUUtilizationPct
    + DataPlanePacketBuffferUtilization
    + 平底锅 GPGateway UtilizationPct
    + panSessionActive
    + panSessionUtilization

## CloudWatch 日志集成
<a name="networking-pa-firewall-cw-logs"></a>

CloudWatch 日志集成可将日志从防火墙转发到 CloudWatch 日志中，从而降低由于本地存储利用率而丢失日志的风险。日志会在防火墙生成时实时填充，并且可以通过控制台或 API 按需查看。

可以为日志分析构建复杂查询，也可以使用 CloudWatch Insights 导出到 CSV。此外，自定义 AMS Managed Firewall CloudWatch 控制面板还将显示特定流量日志查询的快速视图以及一段时间内流量和策略命中率的图表可视化。利用 CloudWatch 日志还可以实现与其他 AWS 服务（例如 AWS Kinesis）的本机集成。

**注意**  
PA 日志无法直接转发到现有的本地或第三方 Syslog 收集器。AMS 托管防火墙解决方案可将日志从 PA 计算机实时传输到 AWS CloudWatch 日志。您可以使用 CloudWatch Logs Insight 功能来运行临时查询。此外，日志可以发送到您的帕洛阿尔托的Panorama管理解决方案。 CloudWatch 也可以使用 CloudWatch 订阅过滤器将日志转发到其他目的地。在下一节中了解有关 Panorama 的更多信息。要了解有关 Splunk 的更多信息，请参阅[与 Splunk 集成](https://docs.aws.amazon.com/managedservices/latest/userguide/enable-Splunk-log-push.html)。

## Panorama 集成
<a name="networking-pa-firewall-panorama"></a>

AMS 托管防火墙可以选择与您现有的 Panorama 集成。这使您可以从 Panorama 查看防火墙配置或将日志从防火墙转发到 Panorama。Panorama 与 AMS 托管防火墙的集成是只读的，不允许从 Panorama 更改防火墙的配置。Panorama 完全由您管理和配置，AMS 仅负责配置与其通信的防火墙。

## 许可
<a name="networking-pa-firewall-license"></a>

AMS 托管防火墙的价格取决于所使用的许可证类型、每小时许可证或自带许可证 (BYOL)，以及设备运行的实例大小。您需要通过 AWS Marketplace 订购您喜欢的帕洛阿尔托防火墙的实例大小和许可证。
+ Marketplace 许可：接受 MALZ 网络账户中虚拟机系列下一代防火墙捆绑包 1 的条款和条件。
+ BYOL 许可证：接受 MALZ 网络账户中虚拟机系列下一代防火墙 (BYOL) 的条款和条件，并将购买许可证后获得的 “BYOL 身份验证码” 共享给 AMS。

## 限制
<a name="networking-pa-firewall-limits"></a>

目前，AMS 支持 VM-300 系列或 VM-500 系列防火墙。可以在此处找到配置：[AWS EC2 实例上的 VM 系列模型](https://docs.paloaltonetworks.com/vm-series/10-0/vm-series-performance-capacity/vm-series-performance-capacity/vm-series-on-aws-models-and-instances.html)，

**注意**  
AMS 解决方案在 Active-Active 模式下运行，因为其可用区中的每个 PA 实例都会处理其相应可用区的出口流量。因此，如果有两个 PA 实例 AZs，则每个 PA 实例可处理高达 5 Gbps 的出口流量，并有效地在两个实例之间提供 10 Gbps 的总吞吐量。 AZs每个可用区中的所有限制也是如此。如果 AMS 运行状况检查失败，我们会将流量从 PA 不佳的可用区转移到另一个可用区，在实例替换期间，容量将减少到剩余 AZs 限制。  
AMS 目前不支持 AWS Marketplace 上提供的其他 Palo Alto 捆绑包；例如，您不能索取 “VM 系列下一代防火墙捆绑包 2”。请注意，使用 Palo Alto 的 AMS 托管防火墙解决方案目前仅提供出口流量过滤服务，因此使用高级 VM 系列捆绑包不会提供任何其他功能或优势。

## 入职要求
<a name="networking-pa-firewall-onboarding-reqs"></a>
+ 您必须在 AWS Marketplace 中查看并接受帕洛阿尔托推出的虚拟机系列下一代防火墙的条款和条件。
+ 您必须根据您的预期工作负载确认要使用的实例大小。
+ 您必须提供与多账户着陆区环境或本地网络不冲突的 /24 CIDR 区块。它必须与出口 VPC 属于同一类别（解决方案为出口 VPC 预配置 /24 VPC 扩展）。

## 定价
<a name="networking-pa-firewall-pricing"></a>

AMS 托管防火墙基础架构成本分为三个主要驱动因素：托管 Palo Alto 防火墙的 EC2 实例、软件许可证 Palo Alto VM 系列许可证和集成。 CloudWatch 

以下定价基于 VM-300 系列防火墙。
+ EC2 实例：Palo Alto 防火墙在 2-3 个 EC2 实例的高可用性模型中运行，其中实例基于预期的工作负载。实例的成本取决于地区和数量 AZs
  + 例如 us-east-1、m5.xlarge、3 AZs
    + 0.192 \$1 24 \$1 30 \$1 3 = 414.72 美元
  + https://aws.amazon.com/ec2/定价/按需定价/
+ 帕洛阿尔托许可证：Palo Alto VM-300 下一代防火墙的软件许可成本取决于可用区的数量和实例类型。
  + 例如 us-east-1、m5.xlarge、3 AZs
    + 0.87 \$1 24 \$1 30 \$1 3 = 1879.20 美元
    + https://aws.amazon.com/marketplace/pp/b083m7jpkb？ ref\$1=srh\$1res\$1product\$1title \$1pdp-pricing
+ CloudWatch 日志集成： CloudWatch 日志集成使用 SysLog 服务器 (EC2 -t3.medium)、NLB 和日志。 CloudWatch 服务器的成本取决于区域和数量 AZs， NLB/CloudWatch 日志的成本因流量利用率而异。
  + 例如 us-east-1、t3.medium、3AZ
    + 0.0416 \$1 24 \$1 30 \$1 3 = 89.86 美元
  + https://aws.amazon.com/ec2/定价/按需定价/
  + https://aws.amazon.com/cloudwatch/定价/

# 周长 (DMZ) VPC
<a name="networking-dmz"></a>

外围或 DMZ、VPC 包含 AMS 运营工程师访问 AMS 网络所需的必要资源。它包含跨越 2-3 个的公共子网 AZs，在 Auto Scaling 组 (ASG) 中包含 SSH 堡垒主机，AMS 运营工程师可以登录或通过隧道通过。附加到隔离区堡垒的安全组包含来自**亚马逊公司**网络的端口 22 入站规则。

*DMZ VPC CIDR 范围：*创建 VPC 时，必须以无类域间路由 (CIDR) 块的形式为 VPC 指定 IPv4 地址范围；例如 10.0.16.0/24。这是您的 VPC 的主要 CIDR 块。

**注意**  
AMS 团队建议将范围设为 24（具有更多 IP 地址），以便在将来部署其他资源（例如防火墙）时提供一些缓冲。

# AWS Transit Gateway
<a name="networking-transit-gateway"></a>

AWS Transit Gateway (TGW) 是一项服务，可让您将亚马逊虚拟私有云 (VPCs) 和本地网络连接到单个网关。传输网关是处理 AMS 账户网络和外部网络之间路由的网络主干。 有关 Transit Gateway 的信息，请参阅 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)。

提供以下输入以创建此资源：
+ *Transit Gateway ASN 编号* \$1：为您的公交网关提供私有自治系统编号 (ASN)。这应该是边界网关协议 (BGP) 会话的 AWS 端的 ASN。16 位的范围为 64512 到 65534。 ASNs

# 共享服务账户
<a name="shared-services-account"></a>

共享服务账户是大多数 AMS 数据平面服务的中心枢纽。该账户包含访问管理 (AD)、端点安全管理 (趋势科技) 所需的基础架构和资源，还包含客户堡垒 (SSH/RDP)。 下图显示了共享服务帐户中包含的资源的高级概述。 

![\[Diagram of Shared Services Account architecture with VPC, subnets, and various AWS 服务.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malzSharedServicesAccount2.png)


共享服务 VPC 由三个可用区中的 AD 子网、EPS 子网和客户堡垒子网组成（AZs）。下面列出了在共享服务 VPC 中创建的资源，需要您输入。
+ *共享服务 VPC CIDR 范围：*创建 VPC 时，必须以无类域间路由 (CIDR) 块的形式为 VPC 指定 IPv4 地址范围；例如 10.0.1.0/24。这是您的 VPC 的主要 CIDR 块。
**注意**  
AMS 团队建议的射程为 /23。
+  A@@ *ctive Directory 详情*：Microsoft Active Directory (AD) 用于 user/resource 管理、身份验证/授权和所有 AMS 多账户登录区域账户的 DNS。AMS AD 还配置了对您的 Active Directory 的单向信任，以进行基于信任的身份验证。 创建 AD 需要以下输入：
  + 域名完全限定域名 (FQDN)：AWS 托管的 Microsoft AD 目录的完全限定域名。该域不应是现有域或网络中现有域的子域。
  + 域 NetBIOS 名称：如果您未指定 NetBIOS 名称，AMS 会将该名称默认为您的目录 DNS 的第一部分。例如，corp 代表目录 DNS corp.example.com。
+ *趋势科技-端点保护安全 (EPS)*：趋势科技端点保护 (EPS) 是 AMS 中用于操作系统安全的主要组件。该系统由趋势科技服务器深度安全防护系统管理中心 (DSM)、 EC2 EC2 实例、中继实例以及存在于所有数据平面和客户 EC2 实例中的代理组成。

  您必须使用共享服务帐户，并订阅趋势科技服务器深度安全防护系统 (BYOL) AMI 或趋势科技趋势科技服务器深度安全防护系统 (Marketplace)。`EPSMarketplaceSubscriptionRole`

  创建 EPS 需要以下默认输入（如果您想更改默认值）：
  + 中继实例类型：默认值-m5.large
  + DSM 实例类型：默认值-m5.xlarge
  + 数据库实例大小：默认值-200 GB
  + RDS 实例类型：默认值——db.m5.large
+  *客户堡垒*：共享服务账户中为您提供 SSH 或 RDP 堡垒（或两者兼而有之），用于访问您的 AMS 环境中的其他主机。为了以用户身份访问 AMS 网络（SSH/RDP), you must use "customer" Bastions as the entry point. The network path originates from the on-premise network, goes through DX/VPN到传输网关 (TGW)，然后路由到共享服务 VPC。一旦您能够访问堡垒，就可以跳转到 AMS 环境中的其他主机，前提是访问请求已获得批准。
  + SSH 堡垒需要以下输入。
    + SSH 堡垒所需实例容量：默认值-2。
    + SSH 堡垒最大实例数：默认值-4。
    + SSH 堡垒最低实例数：默认值 -2。
    + SSH 堡垒实例类型：默认值-m5.large（可以更改以节省成本；例如 t3.medium）。
    + SSH 堡垒入口 CIDRs：您网络中的用户从中访问 SSH 堡垒的 IP 地址范围。
  + Windows RDP 堡垒需要以下输入。
    + RDP 堡垒实例类型：默认值-t3.medium。
    + RDP Bastion 所需的最小会话数：默认值-2。
    + RDP 最大会话数：默认值 -10。
    + RDP 堡垒配置类型：您可以选择以下配置之一
      + SecureStandard = 一个用户收到一个堡垒，只有一个用户可以连接到堡垒。
      + SecureHA = 用户在两个不同的可用区收到两个堡垒可供连接，并且只有一个用户可以连接到堡垒。
      + SharedStandard = 一个用户收到一个要连接的堡垒，两个用户可以同时连接到同一个堡垒。
      + SharedHA = 用户在两个不同的 AZ 中收到两个堡垒可供连接，两个用户可以同时连接到同一个堡垒。
    + 客户 RDP 入口 CIDRs：您网络中的用户将从中访问 RDP 堡垒的 IP 地址范围。

# 共享服务更新：多账户登录区
<a name="ams-dp-release-process"></a>

AMS 每月向托管账户发布数据平面版本，恕不另行通知。

AMS 使用核心 OU 在您的多账户着陆区提供共享服务，例如访问、联网、EPS、日志存储、警报聚合。AMS 负责解决这些共享服务的漏洞、修补和部署。AMS 会定期更新用于提供这些共享服务的资源，以便用户可以访问最新功能和安全更新。更新通常每月进行一次。这些更新中包含的资源有：
+ 属于核心 OU 的账户。

  管理账户、共享服务账户、网络账户、安全账户和日志存档账户拥有用于 RDP 和 SSH 堡垒、代理、管理主机和端点安全 (EPS) 的资源，这些资源通常每月更新一次。AMS 使用不可变 EC2 部署作为共享服务基础设施的一部分。
+  AMIs 包含最新更新的新 AMS。

**注意**  
AMS 操作员在执行数据平面更改时使用内部警报抑制更改类型 (CT)，并且该 CT 的 RFC 会显示在您的 RFC 列表中。这是因为，在部署数据平面版本时，各种基础架构可能会关闭、重新启动、离线，或者部署可能会出现 CPU 峰值或其他影响，从而触发在数据平面部署期间无关的警报。部署完成后，将验证所有基础设施是否正常运行，并重新启用警报。

# 日志存档账户
<a name="logging-account"></a>

日志存档账户是在 AMS 多账户 landing zone 环境中存档日志的中心中心。账户中有一个 S3 存储桶，其中包含每个 AMS 多账户着陆区环境账户的 AWS CloudTrail 和 AWS Config 日志文件的副本。您可以将此账户用于与 AWS Firehose 或 Splunk 等相关的集中式日志解决方案。AMS 仅限少数用户访问此账户；仅限审计师和安全团队进行与账户活动相关的合规和取证调查。

![\[Log Archive Account diagram showing Aggregated CloudTrail Logs and Aggregated Config Logs icons.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malzLogAccount.png)


# 安全账户
<a name="security-account"></a>

安全账户是住房保障相关操作的中心枢纽，也是向AMS控制飞机服务发送通知和警报的主要点。此外，安全账户还存放了 Amazon Guard Duty 管理账户和 AWS Config 聚合器。

![\[Security Account diagram showing GuardDuty Master, Simple Notification System, and Config Aggregator.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malzSecurityAccount.png)


# 应用程序账户类型
<a name="application-account"></a>

应用程序账户是您用来托管工作负载的 AMS 管理的 landing zone 架构中的 AWS 账户。AMS 提供三种类型的应用程序账户：
+ [AMS 管理的应用程序账户](application-account-ams-managed.md)
+ [AMS 加速账户](malz-accelerate-account.md)
+ [客户托管应用程序账户](application-account-cust-man.md)

根据应用程序账户类型，AWS Organizations OUs 中的应用程序账户按不同的分组方式：
+ root OU：

  1. 应用程序 OU
     + 托管 OU：AMS 管理的账户
     + 开发 OU：启用开发者模式的 AMS 管理的账户

  1. 加速 OU：AMS 加速应用程序账户

  1. 客户管理的 OU：客户管理的应用程序帐户

应用程序账户通过管理账户提交的 RFC 进行配置：
+ 使用 VPC 创建应用程序账户 ct-1zdas [mc2ewzrs](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-application-account-with-vpc.html)
+ 创建加速账户 [ct-2p93tyd5angmi](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html)
+ [创建客户管理的应用程序账户 ct-3pwbixz27n3tn](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html)

# AMS 管理的应用程序账户
<a name="application-account-ams-managed"></a>

完全由 AMS 管理的应用程序帐户称为 AMS 管理的应用程序帐户，其中部分或全部操作任务，例如服务请求管理、事件管理、安全管理、连续性管理（备份）、补丁管理、成本优化或基础设施的监控和事件管理，由 AMS 执行。

AMS 执行的任务数量取决于您选择的变更管理模式。AMS 管理的账户支持不同的变更管理模式：
+ [RFC 模式](rfc-mode.md)
+ [AMS 中的直接更改模式](direct-change-mode-section.md)
+ [AMS 和 AWS Service Catalog](ams-service-catalog-section.md)
+ [AMS 高级开发者模式](developer-mode-section.md)
+ [AMS 中的自助服务配置模式](self-service-provisioning-section.md)

有关变更管理和不同模式的更多信息，请参阅[更改管理模式](using-change-management.md)。

有些 AWS 服务可以在您的 AMS 托管账户中使用，而无需管理 AMS。[自助服务配置](https://docs.aws.amazon.com/managedservices/latest/userguide/self-service-provisioning-section.html)部分介绍了这些 AWS 服务的列表以及如何将其添加到您的 AMS 账户。

# AMS 加速账户
<a name="malz-accelerate-account"></a>

AMS Accelerate 是 AMS 运营计划，可以运行支持工作负载的 AWS 基础设施。您可以从 AMS Accelerate 运营服务（例如监控和警报、事件管理、安全管理和备份管理）中受益，而无需进行新的迁移、停机或更改 AWS 的使用方式。AMS Accelerate 还为需要定期修补的 EC2 基于工作负载提供了可选的补丁插件。

借助 AMS Accelerate，您可以自由地在本地或使用首选工具使用、配置和部署所有 AWS 服务。您将使用首选的访问和变更机制，而 AMS 将始终如一地采用久经考验的实践，帮助您扩大团队规模、优化成本、提高安全性和效率并提高弹性。

**注意**  
AMS Advanced 中的 AMS Accelerate 账户没有 AMS 变更管理 (RFCs) 或 AMS 高级控制台。相反，他们有 AMS Accelerate 控制台和功能。

加速账户只能通过您的 AMS 多账户 landing zone 管理账户进行配置。加速提供不同的运营能力。要了解更多信息，请参阅[加速服务说明](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html)。
+ 您将继续享受多账户着陆区 (MALZ) 核心账户的某些功能，例如集中记录、单一账单、安全账户中的 Config Aggregator 和。 SCPs
+ AMS Accelerate 不提供某些 AMS 高级服务，例如 EPS、访问管理、变更管理和配置。我们建议您按照以下步骤获取访问权限并配置传输网关 (TGW)。

有关加速的更多详细信息，请参阅[什么是加速](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/what-is-acc.html)。

## 创建您的加速账户
<a name="ams-add-acc-ct"></a>

要创建加速账户，请按照此处列出的步骤[创建加速账户](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html#deployment-managed-management-account-create-accelerate-account-info)。

## 访问您的加速账户
<a name="ams-add-acc-access"></a>

在您的多账户 landing zone (MALZ) 账户中配置 Accelerate 账户后`AccelerateDefaultAdminRole`，账户中将有一个具有[管理访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator)权限的角色供您代入。

要访问新的加速账户，请执行以下操作：

1. 使用该角色登录管理账户的 IAM 控制台。`CustomerDefaultAssumeRole`

1. 在 IAM 控制台的导航栏上，选择您的用户名。

1. 选择**切换角色**。如果这是您首次选择该选项，则会显示一个包含更多信息的页面。在阅读该信息后，请选择**切换角色**。如果清除您的浏览器 Cookie，则此页面会重新再出现。

1. 在 “**切换角色**” 页面上，键入加速账户 ID 和要代入的角色名称：`AccelerateDefaultAdminRole`。

现在您可以访问了，可以创建新的 IAM 角色来继续访问您的环境。如果您想将 SAML 联合身份验证用于您的加速账户，请参阅[启用 SAML 2.0 联合用户访问 AWS 管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)控制台。

## 将你的加速账户与 Transit Gateway 关联起来
<a name="ams-add-acc-connect-tgw"></a>

AMS 不管理加速账户的网络设置。您可以选择使用 AWS APIs （参见网络[解决方案](https://aws.amazon.com/solutionspace/networking/)）管理自己的网络，也可以使用 AMS MALZ 中部署的现有 Transit Gateway (TGW) 连接到由 AMS 管理的 MALZ 网络。

**注意**  
只有当加速账户位于同一 AWS 区域时，您才能将 VPC 关联到 TGW。有关更多信息，请参阅[公交网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。

要将你的 Accelerate 账户添加到 Transit Gateway，请使用[部署 \$1 托管着陆区 \$1 网络账户 \$1 添加静态路线](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) 更改类型申请新路线，包括以下信息：
+ **Blackhol** e：True 表示路线的目标不可用。当 Transit Gateway 要丢弃静态路由的流量时，请执行此操作。如果将流量路由到指定的 TGW 附件 ID，则为假。默认值为 false。
+ **DestinationCidrBlock**：用于目标匹配的 IPV4 CIDR 范围。路由判断是根据最具体的匹配确定的。示例：10.0.2.0/24。
+ **TransitGatewayAttachmentId**：将用作路由表目标的 TGW 附件 ID。如果 **Blackhol** e 为假，则此参数为必填项，否则将此参数留空。示例：tgw-attach-04eb40d1e14ec7272。
+ **TransitGatewayRouteTableId**: TGW 路由表的 ID。示例：tgw-rtb-06ddc751c0c881c。

在 TGW 路由表中创建路由以连接到此 VPC：

1. 默认情况下，此 VPC 将无法与您的 MALZ 网络 VPCs 中的任何其他 VPC 通信。

1. 与您的解决方案架构师一起决定 VPCs 您希望这个 Accerate VPC 与什么通信。

1. 提交[部署 \$1 托管着陆区 \$1 网络账户 \$1 添加静态路由](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) 更改类型，包括以下信息：
   + **Blackhol** e：True 表示路线的目标不可用。当 Transit Gateway 要丢弃静态路由的流量时，请执行此操作。如果将流量路由到指定的 TGW 附件 ID，则为假。默认值为 false。
   + **DestinationCidrBlock**：用于目标匹配的 IPV4 CIDR 范围。路由判断是根据最具体的匹配确定的。示例：10.0.2.0/24。
   + **TransitGatewayAttachmentId**：将用作路由表目标的 TGW 附件 ID。如果 **Blackhol** e 为假，则此参数为必填项，否则将此参数留空。示例：tgw-attach-04eb40d1e14ec7272。
   + **TransitGatewayRouteTableId**: TGW 路由表的 ID。示例：tgw-rtb-06ddc751c0c881c。

**将新的加速账户 VPC 连接到 AMS 多账户着陆区网络（创建 TGW VPC 附件**）：

1. 在您的多账户 landing zone 网络账户中，打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中，选择 **Transit Gateways**（中转网关）。记录您看到的公交网关的 TGW ID。

1.  在您的加速账户中，打开[亚马逊 VPC 控制台](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中，选择 T **ransit Gateway 附件** > **创建 Transit Gateway 附件**。做出以下选择：
   + 对于 T **ransit Gatew** ay ID，请选择您在步骤 2 中记录的公交网关 ID。
   + 对于 **Attachment type (连接类型)**，选择 **VPC**。
   + 在 **VPC Attachment (VPC 挂载)** 下，（可选）为 **Attachment name tag (挂载名称标签)** 键入名称。
   + 选择是否启用 **DNS Support and S** u **IPv6 ppor** t。
   + 对于 **VPC ID**，选择要附加到中转网关的 VPC。此 VPC 必须至少有一个子网与其关联。
   + 对于**子网 IDs**，为每个可用区选择一个子网，供传输网关用于路由流量。您必须至少选择一个子网。您只能为每个可用区域选择一个子网。

1. 选择 **Create attachment (创建挂载)**。记录新创建的 TGW 附件的 ID。

将 **TGW 附件关联到路由表**：

1. 决定您要将 VPC 与哪个 TGW 路由表关联。我们建议 VPCs 使用部署 \$1 托管着陆区 \$1 网络账户 \$1 创建公交网关路由表 (ct-3dscwaeyi6cup) 更改类型为 Accelerate 账户创建新的应用程序路由表。

1. 在网络账户上提交[管理 \$1 托管着陆区 \$1 网络账户 \$1 关联 TGW 附件](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-networking-account-associate-tgw-attachment.html) (ct-3nmhh0qr338q6) RFC，将 VPC 或 TGW 附件关联到你选择的路由表。

**在 TGW 路由表中创建路由以连接到此 VPC**：

1. 默认情况下，此 VPC 将无法与您的多账户 landing zone 网络 VPCs 中的任何其他 VPC 通信。

1. 与您的解决方案架构师一起决定 VPCs 您希望这个 Accerate 账户 VPC 与什么通信。

1. 提交[部署 \$1 托管着陆区 \$1 网络账户 \$1 针对网络账户添加静态路由](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) RFC 以创建你需要的 TGW 路由。

**将您的 VPC 路由表配置为指向 AMS 多账户 landing zone 公交网关**：

1. 与您的解决方案架构师一起决定要向 AMS 多账户着陆区公交网关发送哪些流量。

1. 提交[部署 \$1 托管着陆区 \$1 网络账户 \$1 针对网络账户添加静态路由](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) RFC 以创建你需要的 TGW 路由。

# 客户托管应用程序账户
<a name="application-account-cust-man"></a>

您可以创建 AMS 无法以标准方式管理的账户。这些账户被称为客户管理账户，它们使您可以完全控制账户内的基础设施，同时享受由 AMS 管理的集中式架构的好处。

客户托管账户无权访问 AMS 控制台或我们提供的任何服务（补丁、备份等）。

客户管理账户只能通过您的 AMS 多账户 landing zone 管理账户进行配置。

不同的 AMS 模式对应用程序账户的使用方式不同；要了解有关这些模式的更多信息，请参阅 [AWS Managed Services 模式](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/ams-modes.html)。

要创建您的客户托管应用程序帐户，请参阅[管理账户 \$1 创建客户管理的应用程序帐户](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html)。

要删除客户管理的应用程序帐户，请使用[管理帐户 \$1 Offboard 应用程序帐户](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html)。（[确认离职](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-application-account-confirm-offboarding.html) CT 不适用于客户管理的应用程序账户。）

# 访问您的客户管理账户
<a name="application-account-cust-man-access"></a>

在多账户 landing zone 中配置客户管理账户 (CMA) 后，账户中将有一个管理员角色 (MALZ)`CustomerDefaultAdminRole`，供您通过 SAML 联合代入来配置账户。

要访问 CMA，请执行以下操作：

1. 使用该角色登录管理账户的 IAM 控制台。**CustomerDefaultAssumeRole**

1. 在 IAM 控制台的导航栏上，选择您的用户名。

1. 选择**切换角色**。如果这是您首次选择该选项，则会显示一个包含更多信息的页面。在阅读该信息后，请选择**切换角色**。如果清除您的浏览器 Cookie，则此页面会重新再出现。

1. 在 “**切换角色**” 页面上，键入客户管理的账户 ID 和要担任的角色的名称：**CustomerDefaultAdminRole**。

现在您可以访问了，可以创建新的 IAM 角色来继续访问您的环境。如果您想将 SAML 联合身份验证用于您的 CMA 账户，请参阅[启用 SAML 2.0 联合用户访问 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) 管理控制台。

# 将 CMA 与 Transit Gateway 连接起来
<a name="application-account-cust-man-connect-tg"></a>

AMS 不管理客户管理账户 (CMAs) 的网络设置。您可以选择使用 AWS APIs （参见[联网解决方案](https://aws.amazon.com/solutionspace/networking/)）管理自己的网络，也可以使用 AMS MALZ 中部署的现有 Transit Gateway (TGW) 连接到由 AMS 管理的多账户着陆区网络。

**注意**  
只有当 CMA 位于同一 AWS 区域时，您才能将 VPC 连接到 TGW。有关更多信息，请参阅[公交网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。

要将你的 CMA 添加到 Transit Gateway，请使用[网络账户申请一条新路线 \$1 添加静态路由 (ct-3r2ckznm](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) t0a59) 更改类型并包含以下信息：
+ **Blackhol** e：True 表示路线的目标不可用。当 Transit Gateway 要丢弃静态路由的流量时，请执行此操作。如果将流量路由到指定的 TGW 附件 ID，则为假。默认值为 false。
+ **DestinationCidrBlock**：用于目标匹配的 IPV4 CIDR 范围。路由判断是根据最具体的匹配确定的。示例：`10.0.2.0/24`。
+ **TransitGatewayAttachmentId**：将用作路由表目标的 TGW 附件 ID。如果 **Blackhol** e 为假，则此参数为必填项，否则将此参数留空。示例：`tgw-attach-04eb40d1e14ec7272`。
+ **TransitGatewayRouteTableId**: TGW 路由表的 ID。示例：`tgw-rtb-06ddc751c0c0c881c`。

**将新的客户管理的 VPC 连接到 AMS 多账户着陆区域网络（创建 TGW VPC 附件**）：

1. 在您的多账户 landing zone 网络账户中，打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中，选择**传输网关**。记录您看到的公交网关的 TGW ID。

1. 在您的客户管理账户中，打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中，选择 T **ransit Gateway 附件** > **创建 Transit Gateway 附件**。做出以下选择：

   1. 对于 T **ransit Gatew** ay ID，请选择您在步骤 2 中记录的公交网关 ID。

   1. 对于 **Attachment type (连接类型)**，选择 **VPC**。

   1. 在 **VPC Attachment (VPC 挂载)** 下，（可选）为 **Attachment name tag (挂载名称标签)** 键入名称。

   1. 选择是否启用 **DNS Support and S** u **IPv6 ppor** t。

   1. 对于 **VPC ID**，选择要附加到中转网关的 VPC。此 VPC 必须至少有一个子网与其关联。

   1. 对于**子网 IDs**，为每个可用区选择一个子网，供传输网关用于路由流量。您必须至少选择一个子网。您只能为每个可用区域选择一个子网。

1. 选择 **Create attachment (创建挂载)**。记录新创建的 TGW 附件的 ID。

 

将 **TGW 附件关联到路由表**：

决定您要将 VPC 与哪个 TGW 路由表关联。我们建议提交部署 \$1 托管 VPCs 着陆区 \$1 网络账户 \$1 创建公交网关路由表 (ct-3dscwaeyi6cup) RFC，为客户管理创建新的应用程序路由表。要将 VPC 或 TGW 附件关联到您选择的路由表，请在网络账户上提交部署 \$1 托管着陆区 \$1 网络账户 \$1 关联 TGW 附件 (ct-3nmhh0qr338q6) RFC。

 

**在 TGW 路由表中创建路由以连接到此 VPC**：

1. 默认情况下，此 VPC 将无法与您的多账户着陆区网络 VPCs 中的任何其他 VPC 通信。

1. 与您的解决方案架构师一起决定 VPCs 您希望此客户托管的 VPC 与什么通信。提交部署 \$1 托管着陆区 \$1 网络账户 \$1 针对网络账户添加静态路由 (ct-3r2ckznmt0a59) RFC 以创建你需要的 TGW 路由。

**注意**  
此 CT（ct-3r2ckznmt0a59）不允许向核心路由表添加静态路由 EgressRouteDomain；如果你的 CMA 需要允许出口流量，请使用 ct-0xdawir96cy7k 提交管理 \$1 其他 \$1 其他 (MOO) RFC。

 

**将您的 VPC 路由表配置为指向 AMS 多账户着陆区中转网关**：

与您的解决方案架构师一起决定要向 AMS 多账户着陆区公交网关发送哪些流量。更新您的 VPC 路由表以将流量发送到之前创建的 TGW 附件

# 获取有关客户管理账户的运营帮助
<a name="application-account-cust-man-op-help"></a>

AMS 可以通过将客户托管账户注册到 AMS Accelerate 来帮助您操作在客户管理账户中部署的工作负载。借助 AMS Accelerate，您可以从监控和警报、事件管理、安全管理和备份管理等运营服务中受益，而无需进行新的迁移、停机或更改使用 AWS方式。AMS Accelerate 还为需要定期修补的 EC2基于工作负载提供了可选的补丁插件。使用 AMS Accelerate，您可以继续以本地方式或首选工具使用、配置和部署所有 AWS 服务；就像使用 AMS 高级客户管理账户一样。您使用首选的访问和变更机制，而 AMS 则采用久经考验的实践，帮助您扩大团队规模、优化成本、提高安全性和效率并提高弹性。要了解更多信息，请参阅[加速服务说明](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html)。

要将您的客户管理账户注册到 Accelerate，请联系您的 CSDM 并按照 [AMS Accelerate 入门中的步骤进行](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/getting-started-acc.html)操作。

**注意**  
AMS Advanced 中的 AMS Accelerate 账户没有 AMS 变更管理（变更请求或 RFCs）或 AMS 高级控制台。相反，他们有 AMS Accelerate 控制台和功能。

# AMS 工具账户（迁移工作负载）
<a name="tools-account"></a>

您的多账户着陆区工具账户（使用 VPC）有助于加快迁移工作，提高您的安全地位，降低成本和复杂性，并标准化您的使用模式。

工具账户提供以下内容：
+ 为系统集成商在生产工作负载之外访问复制实例提供了明确的边界。
+ 允许您创建一个隔离的密室，以检查工作负载中是否存在恶意软件或未知的网络路由，然后再将其存入具有其他工作负载的帐户。
+ 作为定义的帐户设置，它可以更快地为工作负载迁移做好准备和准备。
+ 隔离的网络路由到来自本地-> 工具账户- CloudEndure > AMS 摄取的图像的安全流量。提取图像后，您可以通过 AMS 管理 \$1 高级堆栈组件 \$1 AMI \$1 共享 (ct-1eiczxw8ihc18) RFC 将图像共享到目标账户。

高级架构图：

![\[AWS 账户 structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/high-level-diagram_v1.png)


使用部署 \$1 托管着陆区 \$1 管理账户 \$1 创建工具账户（使用 VPC）更改类型 (ct-2j7q1hgf26x5c)，在多账户着陆区环境中快速部署工具账户并实例化工作负载摄取流程。参见[管理账户，工具账户：创建（使用 VPC）](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-malz-master-acct-create-tools-acct-col.html)。

**注意**  
我们建议有两个可用区 (AZs)，因为这是一个迁移中心。  
默认情况下，AMS 在每个账户中创建以下两个安全组 (SGs)。确认这两个 SGs 都存在。如果他们不在场，请向 AMS 团队提交新的服务申请，请求他们。  
SentinelDefaultSecurityGroupPrivateOnlyEgressAll
InitialGarden-SentinelDefaultSecurityGroupPrivateOnly
确保在私有子网中创建 CloudEndure 复制实例，那里有返回本地的路由。您可以通过确保私有子网的路由表中包含返回 TGW 的默认路由来确认这一点。但是，执行 CloudEndure 计算机切换操作应进入 “隔离” 私有子网，那里没有返回本地的路由，只允许 Internet 出站流量。确保在隔离子网中进行切换，以避免本地资源出现潜在问题，这一点至关重要。

先决条件：

1. **高级**或**高级**支持级别。

1. 部署的 KMS 密钥 AMIs 的应用程序账户 IDs 。

1. 工具账户，如前所述。

# AWS 应用程序迁移服务 (AWS MGN)
<a name="tools-account-mgn"></a>

[AWS 应用程序迁移服务](https://aws.amazon.com/application-migration-service/) (AWS MGN) 可以通过在工具账户配置期间自动创建的 `AWSManagedServicesMigrationRole` IAM 角色在您的 MALZ Tools 账户中使用。您可以使用 AWS MGN 迁移在支持版本的 Windows 和 Linux [操作系统](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)上运行的应用程序和数据库。

有关 AWS 区域 支持的大部分 up-to-date信息，请参阅[AWS 区域服务列表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。

如果 AWS MGN AWS 区域 目前不支持您的首选项，或者 AWS MGN 目前不支持运行应用程序的操作系统，请考虑改用工具账户中的[CloudEndure 迁移](https://console.cloudendure.com/#/register/register)。

**正在请求 AWS MGN 初始化**

AWS MGN 在首次使用前必须由 AMS 进行[初始化](https://docs.aws.amazon.com/mgn/latest/ug/mandatory-setup.html)。要申请新的 Tools 账户，请提交 Tools 账户中的管理 \$1 其他 \$1 其他 RFC，其中包含以下详细信息：

```
RFC Subject=Please initialize AWS MGN in this account
RFC Comment=Please click 'Get started' on the MGN welcome page here: 
    [ https://console.aws.amazon.com/mgn/home?region=*MALZ\$1PRIMARY\$1REGION*\$1/welcome](https://console.aws.amazon.com/mgn/home?region=AP-SOUTHEAST-2#/welcome) using all default values 
    to 'Create template' and complete the initialization process.
```

AMS 成功完成 RFC 并在您的 Tools 账户中初始化 AWS MGN 后，您可以使用编辑默认模板`AWSManagedServicesMigrationRole`以满足您的要求。

![\[AWS MGN，安装应用程序迁移服务。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/aws_mgn_firstrun.png)


# 启用对新 AMS Tools 账户的访问权限
<a name="tools-account-enable"></a>

创建工具账户后，AMS 会为您提供账户 ID。下一步是配置对新账户的访问权限。执行以下步骤。

1. 将相应的 Active Directory 组更新为相应的帐户 IDs。

   AMS 创建的新账户将使用 ReadOnly 角色策略以及允许用户申报的角色进行配置。 RFCs

   Tools 账户还有一个额外的 IAM 角色和用户可用：
   + IAM 角色：`AWSManagedServicesMigrationRole`
   + IAM 用户：`customer_cloud_endure_user`

1. 请求策略和角色以允许服务集成团队成员设置更高级别的工具。

   导航到 AMS 控制台并归档以下内容 RFCs：

   1. 创建 KMS 密钥。使用[创建 KMS 密钥 (auto)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-auto-col.html) 或[创建 KMS 密钥（需要查看）](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-rr-col.html)。

      当您使用 KMS 加密提取的资源时，使用与其余多账户着陆区应用程序账户共享的单个 KMS 密钥可以为摄取的图像提供安全保护，这些图像可以在目标账户中解密。

   1. 共享 KMS 密钥。

      使用管理 \$1 高级堆栈组件 \$1 KMS 密钥 \$1 共享（需要查看）更改类型 (ct-05yb337abq3x5) 请求将新的 KMS 密钥共享给已提取的应用程序账户。 AMIs 

最终账户设置的示例图：

![\[AWS architecture diagram showing Migration VPC, IAM, and Permissions with various components and connections.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/WIGS_Account_ExpandedV1.png)


# AMS 预先批准的 IAM CloudEndure 政策示例
<a name="tools-account-ex-policy"></a>

要查看 AMS 预先批准的 IAM CloudEndure 政策：解压 [WIGS Cloud Endure 着陆区域示例](samples/wigs-ce-lz-examples.zip)文件并打开。`customer_cloud_endure_policy.json`

# 测试 AMS Tools 账户连接和 end-to-end设置
<a name="tools-account-test"></a>

1. 首先在要复制到 AMS 的服务器上配置 CloudEndure 和安装 CloudEndure 代理。

1. 在中创建项目 CloudEndure。

1. 通过 secrets Manager 输入执行先决条件时共享的 AWS 凭据。

1. 在 **“复制” 设置中**：

   1. 选择 AMS “Sentinel” 安全组（仅限私有和 EgressAll），选择 “**选择要应用于复制服务器的安全组**” 选项。

   1. 为计算机（实例）定义转换选项。有关信息，请参阅[步骤 5。切开](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-factory-cloudendure/step5.html)

   1. **子网**：私有子网。

1. **安全组**：

   1. 同时选择 AMS “Sentinel” 安全组（仅限私有和 EgressAll）。

   1. 切换实例必须与 AMS 管理的 Active Directory (MAD) 和公共终端节点通信： AWS 

      1. **弹性 IP**：无

      1. **公有 IP**：否

      1. **IAM 角色**： customer-mc-ec双实例配置文件

   1. 按照您的内部标签惯例设置标签。

1. 在计算机上安装 CloudEndure 代理，然后在 EC2 控制台中查找要出现在您的 AMS 账户中的复制实例。

AMS 摄取过程：

![\[Flowchart showing AMS ingestion process steps from customer instance to application deployment.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/Ingestion_Process_v1.png)


# AMS Tools 账户卫生
<a name="tools-account-hygiene"></a>

在账户中共享了 AMI 并且不再需要复制的实例之后，您需要进行清理：
+ 实例 WIGs 摄取后：
  + 切换实例：至少在工作完成后，通过 AWS 控制台停止或终止此实例
  + 摄取前 AMI 备份：在接入实例且本地实例终止后将其删除
  + AMS 摄取的实例：在共享 AMI 后关闭堆栈或终止
  + AMS-inge AMIs sted：与目标账户共享完成后删除
+ 迁移结束清理：记录通过开发人员模式部署的资源，以确保定期进行清理，例如：
  + 安全组
  + 通过云形成创建的资源
  + 网络 ACK
  + 子网
  + VPC
  + 路由表
  + 角色
  + 用户和账户

# 大规模迁移-迁移工厂
<a name="migration-factory"></a>

请参阅 [AWS CloudEndure 迁移工厂解决方案简介](https://aws.amazon.com/about-aws/whats-new/2020/06/introducing-aws-cloudendure-migration-factory-solution/)。