本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 步驟 2. 在 Accelerate 中加入管理資源
這是入門管理資源程序的概觀。
**您接受條款**
您的雲端服務交付管理員 (CSDM) 會引導您完成接受程序。您需要接受條款與條件、選取、 AWS 區域附加元件和服務水準協議 (SLA)。
**您授予許可給 AMS 角色**
您需要授予對 AMS 程序和雲端架構師的存取權。您可以透過為每個角色建立 CloudFormation 堆疊來執行此操作。請參閱 [建立 AMS 角色的範本](acc-onb-roles.md) ,然後參閱 [`aws_managedservices_onboarding_role` 使用 建立 CloudFormation for Accelerate](acc-onb-create-roles-with-cf.md)。如需詳細資訊,請參閱[AMS Accelerate 中的存取管理](acc-access.md)。
**AMS 會檢閱您的組態**
您的雲端架構師 (CA) 也會在帳戶中尋找可能的組態問題,例如服務控制政策 (SCPs),以及可能阻止 AMS 部署 AMS 所需工具和資源的安全性調查結果。您的 CA 會與您合作,協助您修復問題清單,並移除 AMS 工具和資源部署的任何封鎖程式。
**AMS 會檢閱您的 AWS CloudTrail 線索組態**
您的 Cloud Architect (CA) 將檢閱 CloudTrail 追蹤組態,並確認您是否希望 AMS 部署全域 CloudTrail 追蹤,或將 Accelerate 與您的 CloudTrail 帳戶或 Organization 追蹤資源整合。如果您選擇讓 Accelerate 與您的 CloudTrail 追蹤整合,您的 CA 會引導您完成 CloudTrail 追蹤資源組態的必要更新。
**AMS 部署管理資源**
AMS 團隊會部署工具 AWS 和資源,以提供 AMS Accelerate 的不同服務。完成後,AMS 已建立 AWS Managed Services 帳戶,AMS 會通知您您的帳戶處於作用中狀態。
*加入管理資源*階段到此結束。您可以直接前往加入程序的下一個步驟:[步驟 3。使用預設政策加入 AMS 功能](acc-get-feature-config.md)。
**注意**
現在您的帳戶處於作用中狀態,您可以選擇執行下列任何任務:
使用支援中心主控台建立 AWS 基礎設施的事件和服務請求。請參閱 [AMS Accelerate 中的事件報告、服務請求和帳單問題](acc-supp-ex.md)。
查看 AMS 部署 AWS Config 規則帳戶中的一致性狀態[Accelerate 中的組態合規](acc-sec-compliance.md)。
找出和分析 GuardDuty 和 Macie (選用) 調查結果。請參閱 [使用 GuardDuty 監控](acc-sec-data-protect.md#acc-sec-data-protect-gd)。
存取和稽核 CloudTrail 日誌
追蹤 AMS Accelerate 帳戶中的變更。請參閱 [追蹤 AMS Accelerate 帳戶中的變更](acc-change-record.md)。
使用 Resource Tagger 建立標籤。請參閱 [加速資源交錯](acc-resource-tagger.md)。
請求修補程式、備份和 AWS Config 報告。請參閱[報告和選項](ams-reporting.md)。
# 檢閱並更新您的組態,讓 AMS Accelerate 使用您的 CloudTrail 追蹤
AMS Accelerate 倚賴 AWS CloudTrail 記錄來管理您帳戶中所有資源的稽核和合規。在加入期間,您可以選擇 Accelerate 在主要 AWS 區域中部署 CloudTrail 追蹤,還是使用現有 CloudTrail 帳戶或 Organization 追蹤所產生的事件。如果您的帳戶未設定線索,則 Accelerate 將在加入期間部署受管 CloudTrail 線索。
**重要**
只有在您選擇將 AMS Accelerate 與您的 CloudTrail 帳戶或 Organization 追蹤整合時,才需要 CloudTrail 日誌管理組態。
## 使用 Cloud Architect (CA) 檢閱 CloudTrail 追蹤組態、Amazon S3 儲存貯體政策和 CloudTrail 事件交付目的地的 AWS KMS 金鑰政策
在 Accelerate 可以使用您的 CloudTrail 追蹤之前,您必須與 Cloud Architect (CA) 合作來檢閱和更新組態,以符合 Accelerate 要求。如果您選擇將 Accelerate 與您的 CloudTrail Organization 追蹤整合,則您的 CA 會與您一起更新 CloudTrail 事件交付目的地 Amazon S3 儲存貯體和 AWS KMS 金鑰政策,以從您的 Accelerate 帳戶啟用跨帳戶查詢。您的 Amazon S3 儲存貯體可以位於由 Accelerate 管理的帳戶或您管理的帳戶。在加入期間,加速會驗證是否可以對您的 CloudTrail Organization 追蹤事件交付目的地進行查詢,並在查詢失敗時暫停加入。您可以使用 CA 來更正這些組態,以便繼續加入。
### 檢閱和更新您的 CloudTrail 帳戶或組織追蹤組態
需要下列組態才能整合 Accelerate CloudTrail 日誌管理 CloudTrail 帳戶或組織追蹤資源:
+ 您的 CloudTrail 追蹤已設定為記錄所有 的事件 AWS 區域。
+ 您的 CloudTrail 追蹤已啟用[全域服務事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html#cloudtrail-concepts-global-service-events)。
+ 您的 CloudTrail 帳戶或組織追蹤會記錄所有[管理事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events),包括[讀取和寫入事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#read-write-events-mgmt),並啟用 AWS KMS 和 Amazon RDS Data API 事件記錄。
+ 您的 CloudTrail 追蹤已啟用[日誌檔案完整性驗證](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html)。
+ CloudTrail 追蹤的 Amazon S3 儲存貯體會提供事件,以使用 [SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) 或 [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) 加密來加密事件。
+ CloudTrail 線索交付事件至 的 Amazon S3 儲存貯體已啟用[伺服器存取記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)。
+ CloudTrail 線索交付事件至 的 Amazon S3 儲存貯體具有[生命週期組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html),可保留您的 CloudTrail 線索資料至少 18 個月。
+ CloudTrail 追蹤交付事件的 Amazon S3 儲存貯體已強制執行[物件擁有權](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)設定為儲存貯體擁有者。
+ 您的 CloudTrail 線索交付事件的 Amazon S3 儲存貯體可透過 Accelerate 存取。
#### 檢閱和更新 CloudTrail 事件交付目的地的 Amazon S3 儲存貯體政策
在加入期間,您會與 Cloud Architect (CA) 合作,將 Amazon S3 儲存貯體政策陳述式新增至 CloudTrail 事件交付目的地。若要讓使用者從 Accelerate 帳戶查詢 CloudTrail 事件交付目的地 Amazon S3 儲存貯體中的變更,您可以在 Accelerate 管理的組織的每個帳戶中部署統一命名的 IAM 角色,並將其新增至所有 Amazon S3 儲存貯體政策陳述式中的`aws:PrincipalArn`清單。透過此組態,您的使用者可以在 Accelerate using Athena 中查詢和分析帳戶的 CloudTrail Organization 追蹤事件。如需如何更新 Amazon S3 儲存貯體政策的詳細資訊,請參閱[《Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 主控台新增儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。 **
**重要**
只有在 Accelerate 與將事件交付至集中式 Amazon S3儲存貯體的 CloudTrail 追蹤整合時,才需要更新您的 Amazon S3 儲存貯體政策。Accelerate 不支援與交付至集中式儲存貯體的 CloudTrail 追蹤整合,但組織下沒有帳戶 AWS 。
**注意**
更新 Amazon S3 儲存貯體政策之前,請以適用的值取代*紅色*欄位:
*amzn-s3-demo-bucket*,其中包含來自您帳戶的追蹤事件的 Amazon S3 儲存貯體名稱。
*your-organization-id*,其中包含您帳戶所屬 AWS 組織 ID。
*your-optional-s3-log-delievery-prefix* 搭配 CloudTrail 追蹤的 Amazon S3 儲存貯體交付字首。例如,`my-bucket-prefix`您在[建立 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)時可能已設定的 。
如果您尚未為線索設定 Amazon S3 儲存貯體交付字首,請從下列 Amazon S3 儲存貯體政策陳述式中移除「*your-Optional-s3-log-delievery-prefix*」和繼續斜線 (`/`)。
以下三個 Amazon S3 儲存貯體政策陳述式授予 Accelerate 存取權,以擷取 的組態並執行 AWS Athena 查詢,以從您的 Accelerate 帳戶[分析事件交付目的地 Amazon S3 儲存貯體中的 CloudTrail ](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html) 事件。 Amazon S3
```
{
"Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringLike": {
"s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
#### 檢閱和更新 CloudTrail 事件交付目的地的 AWS KMS 金鑰政策
在加入期間,您會與 Cloud Architect (CA) 合作,更新用於加密交付至 Amazon S3 儲存貯體之 CloudTrail 追蹤事件的 AWS KMS 金鑰政策。請務必將參考 AWS KMS 金鑰政策陳述式附加到現有的 AWS KMS 金鑰。這會將 Accelerate 設定為與您現有的 CloudTrail 追蹤事件交付目的地 Amazon S3 儲存貯體整合,並解密事件。若要讓使用者從 Accelerate 帳戶查詢 CloudTrail 事件交付目的地 Amazon S3 儲存貯體中的變更,您可以在 Accelerate 管理的每個組織中部署統一命名的 IAM 角色,並將其新增至「aws:PrincipalArn」清單。透過此組態,您的使用者可以查詢事件。
有不同的 AWS KMS 金鑰政策更新案例需要考慮。您可能只會將 AWS KMS 金鑰設定為 CloudTrail 追蹤以加密所有事件,而且沒有 AWS KMS 金鑰可加密 Amazon S3 儲存貯體中的物件。或者,您可能有一個 AWS KMS 金鑰會加密 CloudTrail 交付的事件,另一個 AWS KMS 金鑰則會加密存放在 Amazon S3 儲存貯體中的所有物件。當您有兩個 AWS KMS 金鑰時,請更新每個金鑰的 AWS KMS 金鑰政策,以授予加速存取您的 CloudTrail 事件。更新政策之前,請務必將參考 AWS KMS 金鑰政策陳述式修改為現有的 AWS KMS 金鑰政策。如需如何更新 AWS KMS 金鑰政策的詳細資訊,請參閱*AWS Key Management Service 《 使用者指南*》中的[變更金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。
**重要**
只有在 Accelerate 與啟用日誌檔案 SSE-KMS 加密的 CloudTrail 追蹤整合時,才需要更新 AWS KMS 金鑰政策。
**注意**
將此 AWS KMS 金鑰政策陳述式套用至用來加密交付至 Amazon S3 儲存貯體 AWS CloudTrail 之事件的 AWS KMS 金鑰之前,請將下列*紅色*欄位取代為適用的值:
*YOUR-ORGANIZATION-ID* 包含您帳戶所屬 AWS 組織 ID。
此 AWS KMS 金鑰政策陳述式授予 Accelerate 存取權,以解密和查詢從組織中每個帳戶交付至 Amazon S3 儲存貯體的線索事件,並僅限 Athena 存取,供 Accelerate 用於[查詢和分析 CloudTrail 事件。](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html)
```
{
"Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
# 建立 AMS 角色的範本
下列 AMS 角色會將許可授予您的 AMS 雲端架構師 (CA)。下列 zip 檔案包含 Terraform 程式碼和 CloudFormation 範本,可簡化建立 IAM 角色、許可政策和信任政策的程序。如需詳細資訊,請洽詢您的 CA。
| 角色名稱 | 必要者 | 範例範本 |
| --- |--- |--- |
| `aws_managedservices_onboarding_role` | AMS personnel during onboarding only | [onboarding\$1role\$1minimal.zip](samples/onboarding_role_minimal.zip) |
**注意**
在您選取並下載範例範本 (每個角色一個) 之後,您將在 中將這些範本上傳為 CloudFormation 堆疊的定義[`aws_managedservices_onboarding_role` 使用 建立 CloudFormation for Accelerate](acc-onb-create-roles-with-cf.md)。
# `aws_managedservices_onboarding_role` 使用 建立 CloudFormation for Accelerate
您可以從 使用 建立 AWS Identity and Access Management 角色 `aws_managedservices_onboarding_role` CloudFormation AWS 管理主控台。或者,您可以使用來自 的命令 AWS CloudShell 來部署角色。
## 使用 AWS 管理主控台
**注意**
開始之前,請準備好每個角色的 JSON 或 YAML 檔案以上傳。如需詳細資訊,請參閱[建立 AMS 角色的範本](acc-onb-roles.md)。
若要從 建立角色 AWS 管理主控台,請完成下列步驟:
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) 開啟 CloudFormation 主控台。
![\[CloudFormation Stacks interface showing no stacks and options to create or view guide.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/image1.png)
1. 選擇**使用新資源建立堆疊 > (標準)**。您會看到以下頁面。
![\[Create stack interface with options to specify template and upload template file.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/image2.png)
1. 選擇**上傳範本檔案**,上傳 IAM 角色的 JSON 或 YAML 檔案,然後選擇**下一步**。您會看到以下頁面。
![\[Form for specifying stack details, including stack name and parameters fields.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/image3.png)
1. 在堆疊名稱欄位中輸入**堆疊名稱** "**ams-onboarding-role**"。使用格式 "YYYY-MM-DDT00:00:00Z" 輸入 **DateOfExpiry** (建議使用目前日期的 30 天)。繼續向下捲動並選擇下一步,直到您到達此頁面:
![\[Capabilities section with AWSIAM role requirement and checkbox for custom names.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/image4.png)
1. 確定已選取核取方塊,然後選取**建立堆疊**。
1. 確定堆疊已成功建立。
## 使用來自 的命令 AWS CloudShell
若要部署 `aws_managedservices_onboarding_role` IAM 角色,請在 中執行下列命令[AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html):
------
#### [ AWS CLI ]
```
curl -s "https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip" -o "onboarding_role_minimal.zip"
unzip -q -o onboarding_role_minimal.zip
aws cloudformation create-stack \
--stack-name "aws-managedservices-onboarding-role" \
--capabilities CAPABILITY_NAMED_IAM \
--template-body file://onboarding_role_minimal.json \
--parameters ParameterKey=DateOfExpiry,ParameterValue="`date -d '+30 days' -u '+%Y-%m-%dT%H:%M:%SZ'`"
```
------
#### [ AWS Tools for PowerShell ]
```
Invoke-WebRequest -Uri 'https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip' -OutFile 'onboarding_role_minimal.zip'
Expand-Archive -Path 'onboarding_role_minimal.zip' -DestinationPath . -Force
New-CFNStack `
-StackName 'aws-managedservices-onboarding-role' `
-Capability CAPABILITY_NAMED_IAM `
-TemplateBody (Get-Content 'onboarding_role_minimal.json' -Raw) `
-Parameter @{ParameterKey = "DateOfExpiry"; ParameterValue = (Get-Date).AddDays(30).ToString('yyyy-MM-ddTHH:mm:ssZ')}
```
------
建立角色之後,請與您的 Cloud Architect (CA) 合作以完成[步驟 2. 在 Accelerate 中加入管理資源](acc-get-mgmt-resource-onboard.md)程序。AMS 通知您帳戶處於作用中狀態後,您就可以加入執行個體。