本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 多帳戶登陸區域帳戶
<a name="malz-net-arch-accounts"></a>

**Topics**
+ [管理帳戶](management-account.md)
+ [網路帳戶](networking-account.md)
+ [共用服務帳戶](shared-services-account.md)
+ [Log Archive 帳戶](logging-account.md)
+ [安全帳戶](security-account.md)
+ [應用程式帳戶類型](application-account.md)
+ [AMS 工具帳戶 （遷移工作負載）](tools-account.md)

# 管理帳戶
<a name="management-account"></a>

當您開始使用 AMS 時，管理帳戶是您初始的 AWS 帳戶。它利用 AWS Organizations 做為管理帳戶 （也稱為支付所有成員帳戶費用的付款人帳戶），讓帳戶能夠建立和財務管理成員帳戶。它包含 AWS 登陸區域 (ALZ) 架構、帳戶組態堆疊集、AWS Organization 服務控制政策 (SCPs等。

如需使用管理帳戶的詳細資訊，請參閱[管理帳戶的最佳實務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html)。

下圖提供管理帳戶中所含資源的高階概觀。

![\[管理帳戶 overview showing AMS Customer Region and various AWS 服務 and features.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/management-account.png)


## 管理帳戶中的資源
<a name="management-account-resources"></a>

除了上述標準服務之外，在加入期間不會在管理帳戶中建立其他 AWS 資源。加入 AMS 期間需要下列輸入：

+ *管理帳戶 ID*：您最初建立的 AWS 帳戶 ID。
+ *核心帳戶電子郵件*：提供與每個核心帳戶相關聯的電子郵件：聯網、共享服務、記錄和安全帳戶。
+ *服務區域*：提供將部署您 AMS 登陸區域所有資源的 AWS 區域。

# 網路帳戶
<a name="networking-account"></a>

網路帳戶是 AMS 多帳戶登陸區域帳戶、內部部署網路和輸出流量之間網路路由的中樞。此外，此帳戶包含公有 DMZ 堡壘，是 AMS 工程師存取 AMS 環境中主機的進入點。如需詳細資訊，請參閱下列網路帳戶的高階圖表。

![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/malzNetworkAccount.png)


# 網路帳戶架構
<a name="malz-network-arch"></a>

下圖說明 AMS 多帳戶登陸區域環境，顯示跨帳戶的網路流量，並且是高可用性設定的範例。

 

![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW-2.png)


![\[Diagram showing network traffic flow between AWS 帳戶, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)


AMS 會根據我們的標準範本和您在加入期間提供的所選選項，為您設定聯網的所有層面。標準 AWS 網路設計會套用至您的 AWS 帳戶，並為您建立 VPC，並透過 VPN 或 Direct Connect 連線至 AMS。如需 Direct Connect 的詳細資訊，請參閱 [AWS Direct Connect](https://aws.amazon.com/directconnect/)。標準 VPCs包括 DMZ、共用服務和應用程式子網路。在加入過程中，可能會請求和建立額外的 VPCs，以符合您的需求 （例如，客戶部門、合作夥伴）。加入後，您會收到網路圖表：說明網路設定方式的環境文件。

**注意**  
如需所有作用中服務的預設服務限制和限制的相關資訊，請參閱 [AWS 服務限制](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)文件。

我們的網路設計是以 Amazon[「最低權限原則」](https://en.wikipedia.org/wiki/Principle_of_least_privilege)為基礎建置。為了達成此目的，我們透過 DMZ 路由所有流量、輸入和輸出，但來自信任網路的流量除外。唯一信任的網路是透過使用 VPN 和/或 AWS Direct Connect (DX) 在內部部署環境和 VPC 之間設定的網路。透過使用堡壘執行個體授予存取權，從而防止直接存取任何生產資源。您的所有應用程式和資源都位於可透過公有負載平衡器連線的私有子網路內。公有輸出流量會透過輸出 VPC 中的 NAT 閘道 （在網路帳戶中） 流向網際網路閘道，然後流向網際網路。或者，流量可以透過 VPN 或 Direct Connect 流向內部部署環境。

# 私有網路連線至 AMS 多帳戶登陸區域環境
<a name="malz-net-arch-private-net"></a>

AWS 透過虛擬私有網路 (VPN) 連線或專用線路與 AWS Direct Connect 提供私有連線。多帳戶環境中的私有連線，是使用下列其中一種方法設定：
+ 使用 Transit Gateway 的集中式 Edge 連線
+ 將 Direct Connect (DX) 和/或 VPN 連線至帳戶虛擬私有雲端 (VPCs)

# 使用傳輸閘道的集中式邊緣連線
<a name="malz-net-arch-cent-edge"></a>

AWS Transit Gateway 是一項服務，可讓您將 VPCs 和內部部署網路連線至單一閘道。傳輸閘道 (TGW) 可用來合併現有的邊緣連線，並透過單一輸入/輸出點路由。傳輸閘道會在您 AMS 多帳戶環境的網路帳戶中建立。如需傳輸閘道的詳細資訊，請參閱 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)。

AWS Direct Connect (DX) 閘道用於透過傳輸虛擬介面將 DX 連接連接到傳輸閘道VPCs VPNs。您將 Direct Connect 閘道與傳輸閘道建立關聯。然後，為您的 AWS Direct Connect 連線至 Direct Connect 閘道建立傳輸虛擬介面。如需 DX 虛擬介面的資訊，請參閱 [ AWS Direct Connect 虛擬介面](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)。

此組態具有以下好處。您可以：
+ 管理相同 AWS 區域中多個 VPCs 或 VPNs單一連線。
+ 將字首從內部部署公告至 AWS，以及從 AWS 公告至內部部署。

**注意**  
如需搭配 AWS 服務使用 DX 的詳細資訊，請參閱彈性工具組一節 [Classic](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html)。如需詳細資訊，請參閱[傳輸閘道關聯](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html)。

![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/malz-cent-edge.png)


若要提高連線能力，建議您從不同 AWS Direct Connect 位置將至少兩個傳輸虛擬介面連接至 Direct Connect 閘道。如需詳細資訊，請參閱 [AWS Direct Connect 彈性建議](https://aws.amazon.com/directconnect/resiliency-recommendation/)。

# 將 DX 或 VPN 連線至帳戶 VPCs
<a name="malz-net-arch-dx-vpn"></a>

使用此選項時，您 AMS 多帳戶登陸區域中VPCs 會直接連線至 Direct Connect 或 VPN。流量會直接從 VPCs 流向 Direct Connect 或 VPN，而不會周遊傳輸閘道。

# 網路帳戶中的資源
<a name="networking-account-resources"></a>

如聯網帳戶圖表所示，下列元件會在帳戶中建立，並需要您的輸入。

網路帳戶包含兩個 VPCs：**輸出 VPC** 和 **DMZ VPC**，也稱為**周邊** VPC。

# AWS Network Manager
<a name="networking-manager"></a>

AWS Network Manager 是一項服務，可讓您將傳輸閘道 (TGW) 網路視覺化，而無須支付 AMS 額外費用。它提供 AWS 資源和內部部署網路的集中式網路監控、拓撲圖和地理地圖中私有網路的單一全域檢視，以及使用率指標，例如位元組輸入/輸出、封包輸入/輸出、捨棄的封包，以及拓撲、路由和上/下連線狀態的變更提醒。如需相關資訊，請參閱[AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/)。

使用下列其中一個角色來存取此資源：
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole

# 輸出 VPC
<a name="networking-vpc"></a>

輸出 VPC 主要用於輸出流量到網際網路，由最多三個可用區域 (AZs) 中的公有/私有子網路組成。網路位址轉譯 (NAT) 閘道佈建在公有子網路中，傳輸閘道 (TGW) VPC 連接則建立在私有子網路中。來自所有網路的輸出或傳出網際網路流量會透過 TGW 透過私有子網路進入，然後透過 VPC 路由表路由至 NAT。

對於在公有子網路中包含公開應用程式的 VPCs，來自網際網路的流量會包含在該 VPC 中。傳回流量不會路由至 TGW 或輸出 VPC，而是透過 VPC 中的網際網路閘道 (IGW) 傳回。

**注意**  
網路 VPC CIDR 範圍：建立 VPC 時，您必須以無類別網域間路由 (CIDR) 區塊的形式指定 VPC 的 IPv4 地址範圍；例如 10.0.16.0/24。這是您 VPC 的主要 CIDR 區塊。  
AMS 多帳戶登陸區域團隊建議 24 的範圍 （具有更多 IP 地址），以便在未來部署其他資源/設備時提供一些緩衝。

# Managed Palo Alto 輸出防火牆
<a name="networking-palo-alto"></a>

AMS 提供受管 Palo Alto 輸出防火牆解決方案，可為多帳戶登陸區域環境 （不包括公有服務） 中的所有網路啟用網際網路繫結傳出流量篩選。此解決方案結合了領先業界的防火牆技術 (Palo Alto VM-300) 與 AMS 的基礎設施管理功能，可在合規的操作環境中部署、監控、管理、擴展和還原基礎設施。包括 Palo Alto Networks 在內的第三方無法存取防火牆；它們僅由 AMS 工程師管理。

## 流量控制
<a name="networking-pa-firewall-traffic"></a>

受管傳出防火牆解決方案會管理網域允許清單，其中包含備份和修補程式等服務所需的 AMS 網域，以及您定義的網域。當傳出網際網路流量路由到防火牆時，會開啟工作階段、評估流量，如果符合允許的網域，流量會轉送到目的地。

## 架構
<a name="networking-pa-firewall-arch"></a>

受管輸出防火牆解決方案遵循高可用性模型，其中會根據可用區域 (AZs) 的數量部署兩到三個防火牆。解決方案利用來自預設輸出 VPC 的部分 IP 空間，但也為管理防火牆所需的其他資源佈建 VPC 延伸 (/24)。

![\[Network diagram showing Egress VPC with subnets, AMS Firewall VPC Extension, and associated resources.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/malz-pa-firewall-arch.png)


## 網路流程
<a name="networking-pa-firewall-flow"></a>

![\[AWS network architecture diagram showing Application, Networking, and Shared Services accounts with VPCs and subnets.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/malz-pa-firewall-net-flow.png)


![\[Traffic key showing different types of AWS network traffic with color-coded lines.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/malz-pa-firewall-net-flow-legend.png)


在高階，公有輸出流量路由保持不變，但流量從輸出 VPC 路由到網際網路的方式除外：

1. 目的地為網際網路的輸出流量會透過 VPC 路由表傳送至傳輸閘道 (TGW)

1. TGW 會透過 TGW 路由表將流量路由至輸出 VPC

1. VPC 透過私有子網路路由表將流量路由至網際網路

   1. 在預設的多帳戶登陸區域環境中，網際網路流量會直接傳送到網路位址轉譯 (NAT) 閘道。受管防火牆解決方案會重新設定私有子網路路由表，將預設路由 (0.0.0.0/0) 指向防火牆介面。

防火牆本身包含三個界面：

1. 信任的界面：用於接收要處理的流量的私有界面。

1. 不受信任的界面：將流量傳送至網際網路的公有界面。由於防火牆執行 NAT，外部伺服器接受來自這些公有 IP 地址的請求。

1. 管理界面：防火牆 API、更新、主控台等的私有界面。

在所有路由中，流量都會維持在相同的可用區域 (AZ) 內，以減少跨可用區域流量。流量只會在容錯移轉發生時跨越 AZs。

## 允許清單修改
<a name="networking-pa-firewall-allow-list-mod"></a>

加入後，`ams-allowlist`會建立名為 的預設允許清單，其中包含 AMS 所需的公有端點，以及用於修補 Windows 和 Linux 主機的公有端點。操作完成後，您可以在管理 \$1 受管防火牆 \$1 傳出 (Palo Alto) 類別下的 AMS 主控台中建立 RFC 的 ，以建立或刪除允許清單，或修改網域。請注意， `ams-allowlist`無法修改。RFC 的 是以完全自動化處理 （並非手動）。

## 自訂安全政策
<a name="networking-pa-firewall-custom-security"></a>

安全政策會根據流量屬性來決定是否封鎖或允許工作階段，例如來源和目的地安全區域、來源和目的地 IP 地址，以及 服務。全自動化 RFCs支援自訂安全政策。您可以在 Management \$1 Managed Firewall \$1 Outbound (Palo Alto) 類別中找到建立或刪除安全政策CTs，也可以在 Deployment \$1 Managed Firewall \$1 Outbound (Palo Alto) 類別中找到編輯現有安全政策的 CT。您將能夠建立新的安全政策、修改安全政策或刪除安全政策。

**注意**  
`ams-allowlist` 無法修改預設安全政策

## CloudWatch PA 輸出儀表板
<a name="networking-pa-firewall-cw-egress"></a>

您可以在 CloudWatch 中找到兩個儀表板，以提供 Palo Alto (PA) 的彙總檢視。**AMS-MF-PA-Egress-Config-Dashboard** 提供 PA 組態概觀、允許清單的連結，以及包含其屬性的所有安全政策清單。**AMS-MF-PA-Egress-Dashboard** 可以自訂來篩選流量日誌。例如，若要建立安全政策的儀表板，您可以使用下列篩選條件建立 RFC：

```
fields @timestamp, @message
| filter @logStream like /pa-traffic-logs/
| filter @message like /<Security Policy Name>/
| parse @message "*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*," as x1, @x2, @x3, @x4, @type, @x6, @x7, @source_ip, @destination_ip, @source_nat_ip, @dest_nat_ip, @rule, @x13, @x14, @application, @x16, @from_zone, @to_zone, @x19, @x20, @x21, @x22, @session_id, @x24, @source_port, @destination_port, @source_nat_port, @destination_nat_port, @x29, @protocol, @action, @bytes, @bytes_sent, @bytes_recieved, @packets, @x36, @x37, @category, @x39, @x40, @x41, @source_country, @destination_country, @x44, @packets_sent, @packets_recieved, @session_end_reason, @x48, @x49, @x50
| display @timestamp, @rule, @action, @session_end_reason, @protocol, @source_ip, @destination_ip, @source_port, @destination_port, @session_id, @from_zone, @to_zone, @category, @bytes_sent, @bytes_recieved, @packets_sent, @packets_recieved, @source_country, @destination_country
```

## 容錯移轉模型
<a name="networking-pa-firewall-failover"></a>

防火牆解決方案包含兩到三個 Palo Alto (PA) 主機 （每個可用區域一個）。運作狀態檢查 Canary 會以固定排程執行，以評估主機的運作狀態。如果主機識別為運作狀態不良，AMS 會收到通知，並透過路由表變更，自動將該 AZ 的流量轉移到不同 AZ 中運作狀態良好的主機。由於運作狀態檢查工作流程持續執行，如果主機因為暫時性問題或手動修復而再次運作狀態良好，則流量會使用運作狀態良好的主機切換回正確的可用區域。

## 擴展
<a name="networking-pa-firewall-scaling"></a>

AMS 會監控防火牆的輸送量和擴展限制。當輸送量限制超過較低的浮水印閾值 (CPU/網路） 時，AMS 會收到提醒。低浮水印閾值表示資源接近飽和，到達 AMS 將評估一段時間內指標的時間點，並尋求擴展解決方案的建議。

## 備份與恢復
<a name="networking-pa-firewall-backup"></a>

備份會在初始啟動期間、任何組態變更後，以及定期間隔建立。初始啟動備份是以每個主機為基礎建立，但組態變更和定期間隔備份會在叫用備份工作流程時跨所有防火牆主機執行。AMS 工程師可以在這些時段之外建立其他備份，或應要求提供備份詳細資訊。

如有需要，AMS 工程師可以執行組態備份的還原。如果需要還原，則會在所有主機之間進行，以保持主機之間的組態同步。

當主機需要完整回收執行個體時，也會發生還原。佈建新的 EC2 執行個體時，會自動還原最新的備份。一般而言，主機不會定期回收，並且會保留給嚴重故障或必要的 AMI 交換。主機資源回收會手動啟動，並在資源回收發生之前通知您。

除了防火牆組態備份之外，您的特定允許清單規則會分別備份。修改您定義的允許清單規則時，會自動建立備份。如有必要，AMS 工程師可以執行允許清單備份的還原。

## 更新
<a name="networking-pa-firewall-updates"></a>

AMS Managed Firewall Solution 需要一段時間的各種更新，才能對系統、其他功能或防火牆作業系統 (OS) 或軟體進行更新。

大多數變更不會影響執行環境，例如更新自動化基礎設施，但防火牆執行個體輪換或作業系統更新等其他變更可能會導致中斷。評估因更新造成的潛在服務中斷時，AMS 會與您協調以適應維護時段。

## 運算子存取
<a name="networking-pa-firewall-op-access"></a>

AMS 運算子會使用其 ActiveDirectory 登入資料登入 Palo Alto 裝置來執行操作 （例如修補、回應事件等）。解決方案會保留標準 AMS Operator 身分驗證和組態變更日誌，以追蹤在 Palo Alto 主機上執行的動作。

## 預設日誌
<a name="networking-pa-firewall-default-logs"></a>

根據預設，防火牆產生的日誌位於每個防火牆的本機儲存體中。加班，本機日誌將根據儲存使用率刪除。AMS 解決方案可將日誌從機器即時傳送至 CloudWatch 日誌；如需詳細資訊，請參閱 [CloudWatch Logs 整合](#networking-pa-firewall-cw-logs)。

AMS 工程師仍然能夠在需要時直接從機器查詢和匯出日誌。此外，日誌可以運送到客戶擁有的 Panorama；如需詳細資訊，請參閱 [全景整合](#networking-pa-firewall-panorama)。

解決方案收集的日誌如下：


**RFC 狀態碼**  

| 日誌類型 | 描述 | 
| --- | --- | 
| 流量 | 顯示每個工作階段開始和結束的項目。每個項目都包含日期和時間、來源和目的地區域、地址和連接埠、應用程式名稱、套用至流程的安全規則名稱、規則動作 （允許、拒絕或捨棄）、輸入和輸出界面、位元組數，以及工作階段結束原因。 類型欄指出項目是用於工作階段的開始或結束，還是工作階段遭到拒絕或捨棄。"drop" 表示封鎖指定 "any" 應用程式之流量的安全規則，而 "deny" 表示規則已識別特定應用程式。 如果在識別應用程式之前捨棄流量，例如當規則捨棄特定服務的所有流量時，應用程式會顯示為「不適用」。 | 
| 威脅 | 顯示防火牆產生之每個安全警示的項目。每個項目都包含日期和時間、威脅名稱或 URL、來源和目的地區域、地址和連接埠、應用程式名稱，以及警示動作 （允許或封鎖） 和嚴重性。 類型欄指出威脅類型，例如「病毒」或「間諜軟體」；名稱欄是威脅描述或 URL；類別欄是威脅類別 （例如「鍵盤記錄器」) 或 URL 類別。 | 
| URL 篩選 | 顯示 URL 篩選條件的日誌，可控制對網站的存取，以及使用者是否可以將登入資料提交至網站。 | 
| 組態 | 顯示每個組態變更的項目。每個項目都包含日期和時間、管理員使用者名稱、進行變更的 IP 地址、用戶端類型 (Web 介面或 CLI)、命令執行類型、命令是否成功或失敗、組態路徑，以及變更前後的值。 | 
| 系統 | 顯示每個系統事件的項目。每個項目都包含日期和時間、事件嚴重性和事件描述。 | 
| 警報 | 警示日誌會記錄系統所產生警示的詳細資訊。此日誌中的資訊也會在警示中報告。請參閱「定義警示設定」。 | 
| 身分驗證 | 顯示當最終使用者嘗試存取由身分驗證政策規則控制存取的網路資源時，所發生身分驗證事件的相關資訊。使用者可以使用此資訊來協助疑難排解存取問題，並視需要調整使用者身分驗證政策。搭配相互關聯物件，使用者也可以使用身分驗證日誌來識別使用者網路上的可疑活動，例如暴力攻擊。 或者，使用者可以設定身分驗證規則來記錄身分驗證逾時。這些逾時與使用者只需要對資源進行身分驗證一次，但可以重複存取的時間有關。查看逾時的相關資訊，有助於使用者決定是否及如何調整逾時。 | 
| 統一 | 在單一檢視中顯示最新的流量、威脅、URL 篩選、WildFire 提交和資料篩選日誌項目。集體日誌檢視可讓使用者一起調查和篩選這些不同類型的日誌 （而不是分別搜尋每個日誌集）。或者，使用者可以選擇要顯示的日誌類型：按一下篩選欄位左側的箭頭，然後選取流量、威脅、url、資料和/或森林大火，以僅顯示選取的日誌類型。 | 

## 事件管理
<a name="networking-pa-firewall-event-mgmt"></a>

AMS 會持續監控防火牆的容量、運作狀態和可用性。從防火牆產生的指標，以及 AWS/AMS 產生的指標，可用來建立 AMS 操作工程師收到的警示，他們將調查並解決問題。目前的警示涵蓋下列案例：

事件警示：
+ 防火牆資料平面 CPU 使用率
  + CPU 使用率 - 資料平面 CPU （處理流量）
+ 防火牆資料平面封包使用率高於 80%
  + 封包使用率 - 資料平面 （處理流量）
+ 防火牆資料平面工作階段使用率
+ 防火牆資料平面工作階段作用中
+ 防火牆 CPU 使用率彙總
  + 所有 CPU CPUs 使用率
+ 依可用區域進行容錯移轉
  + 在 AZ 中發生容錯移轉時的警示
+ 運作狀態不佳的 Syslog 主機
  + Syslog 主機運作狀態檢查失敗

管理警示：
+ 運作狀態檢查監控失敗警示
  + 當運作狀態檢查工作流程意外失敗時
  + 這是針對工作流程本身，而不是防火牆運作狀態檢查失敗時
+ 密碼輪換失敗警示
  + 當密碼輪換失敗時
  + API/服務使用者密碼每 90 天輪換一次

## 指標
<a name="networking-pa-firewall-metrics"></a>

所有指標都會擷取並儲存在網路帳戶中的 CloudWatch 中。您可以透過取得網路帳戶的主控台存取權，以及導覽至 CloudWatch 主控台來檢視這些內容。您可以在指標索引標籤下檢視個別指標，也可以透過導覽至儀表板索引標籤，然後選取 **AMS-MF-PA-Egress-Dashboard** 來檢視特定指標和彙總指標的單一窗格儀表板檢視。

自訂指標：
+ 運作狀態檢查
  + 命名空間：AMS/MF/PA/輸出
    + PARouteTableConnectionsByAZ
    + PAUnhealthyByInstance
    + PAUnhealthyAggregatedByAZ
    + PAHealthCheckLockState
+ 防火牆產生
  + 命名空間：AMS/MF/PA/Egress/<instance-id>
    + DataPlaneCPUUtilizationPct
    + DataPlanePacketBuffferUtilization
    + panGPGatewayUtilizationPct
    + panSessionActive
    + panSessionUtilization

## CloudWatch Logs 整合
<a name="networking-pa-firewall-cw-logs"></a>

CloudWatch Logs 整合會將日誌從防火牆轉送到 CloudWatch Logs，以降低由於本機儲存使用率而遺失日誌的風險。當防火牆產生日誌時，日誌會即時填入，並且可以透過主控台或 API 隨需檢視。

可以使用 CloudWatch Insights 建置複雜的查詢以進行日誌分析或匯出至 CSV。此外，自訂 AMS Managed Firewall CloudWatch 儀表板也會顯示特定流量日誌查詢的快速檢視，以及一段時間內流量和政策命中次數的圖形視覺化。使用 CloudWatch 日誌也可以原生整合其他 AWS 服務，例如 AWS Kinesis。

**注意**  
PA 日誌無法直接轉送至現有的內部部署或第三方 Syslog 收集器。AMS Managed Firewall 解決方案可將 PA 機器的日誌即時運送到 AWS CloudWatch Logs。您可以使用 CloudWatch Logs Insight 功能來執行臨機操作查詢。此外，日誌可以運送到 Palo Alto 的 Panorama 管理解決方案。CloudWatch 日誌也可以使用 CloudWatch Subscription Filters 轉送到其他目的地。在下一節中進一步了解 Panorama。若要進一步了解 Splunk，請參閱[與 Splunk 整合](https://docs.aws.amazon.com/managedservices/latest/userguide/enable-Splunk-log-push.html)。

## 全景整合
<a name="networking-pa-firewall-panorama"></a>

AMS Managed Firewall 可以選擇性地與您現有的 Panorama 整合。這可讓您從 Panorama 檢視防火牆組態，或從防火牆將日誌轉送至 Panorama。與 AMS Managed Firewall 的 Panorama 整合是唯讀的，不允許從 Panorama 對防火牆進行組態變更。Panorama 由您完全管理和設定，AMS 僅負責設定防火牆以與其通訊。

## 授權
<a name="networking-pa-firewall-license"></a>

AMS Managed Firewall 的價格取決於所使用的授權類型、每小時或自備授權 (BYOL)，以及設備執行的執行個體大小。您必須透過 AWS Marketplace 訂購您偏好的執行個體大小和 Palo Alto 防火牆授權。
+ Marketplace 授權：從 MALZ 中的網路帳戶接受 VM 系列新一代防火牆套件 1 的條款與條件。
+ BYOL 授權：從 MALZ 的網路帳戶接受 VM 系列新一代防火牆 (BYOL) 的條款與條件，並共用購買授權給 AMS 後取得的「BYOL 驗證程式碼」。

## 限制
<a name="networking-pa-firewall-limits"></a>

目前，AMS 支援 VM-300 系列或 VM-500 系列防火牆。您可以在此處找到組態：[AWS EC2 執行個體上的 VM 系列模型](https://docs.paloaltonetworks.com/vm-series/10-0/vm-series-performance-capacity/vm-series-performance-capacity/vm-series-on-aws-models-and-instances.html)、

**注意**  
AMS 解決方案會在主動-主動模式下執行，因為其 AZ 中的每個 PA 執行個體都會處理其受尊重 AZ 的輸出流量。因此，使用兩個 AZs，每個 PA 執行個體處理高達 5 Gbps 的輸出流量，並有效地在兩個 AZs 中提供整體 10 Gbps 輸送量。對於每個 AZ 中的所有限制也是如此。如果 AMS 運作狀態檢查失敗，我們會將流量從具有錯誤 PA 的 AZ 轉移到另一個 AZ，並且在執行個體替換期間，容量會減少到剩餘的 AZs限制。  
AMS 目前不支援 AWS Marketplace 上可用的其他 Palo Alto 套件；例如，您無法要求「VM 系列新一代防火牆套件 2」。請注意，使用 Palo Alto 的 AMS Managed Firewall 解決方案目前僅提供輸出流量篩選產品，因此使用進階 VM 系列套件不會提供任何額外的功能或優點。

## 加入要求
<a name="networking-pa-firewall-onboarding-reqs"></a>
+ 您必須檢閱並接受 AWS Marketplace 中來自 Palo Alto 的 VM 系列新一代防火牆的條款與條件。
+ 您必須根據預期的工作負載，確認要使用的執行個體大小。
+ 您必須提供不會與多帳戶登陸區域環境或內部部署中的網路衝突的 /24 CIDR 區塊。它必須與輸出 VPC 的類別相同 （解決方案為輸出 VPC 佈建 /24 VPC 延伸）。

## 定價
<a name="networking-pa-firewall-pricing"></a>

AMS Managed Firewall 基礎基礎設施成本分為三個主要驅動程式：託管 Palo Alto 防火牆的 EC2 執行個體、軟體授權 Palo Alto VM 系列授權，以及 CloudWatch Integrations。

下列定價是以 VM-300 系列防火牆為基礎。
+ EC2 執行個體：Palo Alto 防火牆會以 2-3 個 EC2 執行個體的高可用性模型執行，其中執行個體是以預期的工作負載為基礎。執行個體的成本取決於 AZs 的區域和數量
  + 例如 us-east-1、m5.xlarge、3AZs
    + \$10.192 \$1 24 \$1 30 \$1 3 = \$1414.72
  + https://aws.amazon.com/ec2/pricing/on-demand/
+ Palo Alto 授權：Palo Alto VM-300 新一代防火牆的軟體授權成本取決於 AZ 數量和執行個體類型。
  + 例如 us-east-1、m5.xlarge、3AZs
    + \$10.87 \$1 24 \$1 30 \$1 3 = \$11879.20
    + https://aws.amazon.com/marketplace/pp/B083M7JPKB?ref\$1=srh\$1res\$1product\$1title\$1pdp-pricing
+ CloudWatch Logs 整合：CloudWatch Logs 整合使用 SysLog 伺服器 (EC2 - t3.medium)、NLB 和 CloudWatch Logs。伺服器的成本是根據 AZs 的區域和數量而定，而 NLB/CloudWatch 日誌的成本會根據流量使用率而有所不同。
  + 例如 us-east-1、t3.medium、3AZ
    + \$10.0416 \$1 24 \$1 30 \$1 3 = \$189.86
  + https://aws.amazon.com/ec2/pricing/on-demand/
  + https://aws.amazon.com/cloudwatch/pricing/

# 周邊 (DMZ) VPC
<a name="networking-dmz"></a>

周邊或 DMZ、VPC 包含 AMS Operations 工程師存取 AMS 網路所需的資源。它包含跨 2-3 個AZs公有子網路，並在 Auto Scaling 群組 (ASG) 中包含 SSH Bastions 主機，供 AMS Operations 工程師登入或通道。連接至 DMZ 堡壘的安全群組包含來自 **Amazon Corp Networks **的連接埠 22 傳入規則。

*DMZ VPC CIDR 範圍：*建立 VPC 時，您必須以無類別網域間路由 (CIDR) 區塊的形式指定 VPC 的 IPv4 地址範圍；例如 10.0.16.0/24。這是您 VPC 的主要 CIDR 區塊。

**注意**  
AMS 團隊建議 24 的範圍 （具有更多 IP 地址），以便在將來部署防火牆等其他資源時提供一些緩衝。

# AWS Transit Gateway
<a name="networking-transit-gateway"></a>

AWS Transit Gateway (TGW) 是一項服務，可讓您將 Amazon Virtual Private Clouds (VPCs) 和內部部署網路連線至單一閘道。傳輸閘道是處理 AMS 帳戶網路與外部網路之間路由的網路骨幹。如需傳輸閘道的相關資訊，請參閱 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)。

提供下列輸入來建立此資源：
+ *傳輸閘道 ASN 編號*\$1：為您的傳輸閘道提供私有自治系統編號 (ASN)。此為邊界閘道協定 (BGP) 工作階段的 AWS 端 ASN。16 位元的 ASN 範圍應介於 64512 到 65534。

# 共用服務帳戶
<a name="shared-services-account"></a>

共用服務帳戶可做為大多數 AMS 資料平面服務的中樞。帳戶包含存取管理 (AD)、端點安全管理 (Trend Micro) 所需的基礎設施和資源，並包含客戶堡壘 (SSH/RDP)。 共享服務帳戶中包含的資源的高階概觀如下圖所示。 

![\[Diagram of Shared Services Account architecture with VPC, subnets, and various AWS 服務.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/malzSharedServicesAccount2.png)


共用服務 VPC 由三個可用區域 (AZs) 中的 AD 子網路、EPS 子網路和客戶堡壘子網路組成。共享服務 VPC 中建立的資源列於下方，需要您的輸入。
+ *共用服務 VPC CIDR 範圍：*建立 VPC 時，您必須以無類別網域間路由 (CIDR) 區塊的形式指定 VPC 的 IPv4 地址範圍；例如 10.0.1.0/24。這是您 VPC 的主要 CIDR 區塊。
**注意**  
AMS 團隊建議 /23 的範圍。
+  *Active Directory 詳細資訊*：Microsoft Active Directory (AD) 用於所有 AMS 多帳戶登陸區域帳戶的使用者/資源管理、身分驗證/授權和 DNS。AMS AD 也會設定對 Active Directory 的單向信任，以進行信任型身分驗證。建立 AD 需要下列輸入：
  + 網域完整網域名稱 (FQDN)：AWS Managed Microsoft AD 目錄的完整網域名稱。網域不應是您網路中現有網域的現有網域或子網域。
  + 網域 NetBIOS 名稱：如果您未指定 NetBIOS 名稱，AMS 會將名稱預設為目錄 DNS 的第一部分。例如，DNS corp.example.com 目錄的 corp。
+ *Trend Micro – 端點保護安全 (EPS)*：Trend Micro 端點保護 (EPS) 是 AMS 中用於作業系統安全的主要元件。系統包含 Deep Security Manager (DSM)、EC2 執行個體、轉送 EC2 執行個體，以及存在於所有資料平面和客戶 EC2 執行個體中的代理程式。

  您必須在`EPSMarketplaceSubscriptionRole`共用服務帳戶中擔任 ，並訂閱 Trend Micro Deep Security (BYOL) AMI 或 Trend Micro Deep Security (Marketplace)。

  建立 EPS 需要下列預設輸入 （如果您想要從預設值變更）：
  + 轉送執行個體類型：預設值 - m5.large
  + DSM 執行個體類型：預設值 - m5.xlarge
  + 資料庫執行個體大小：預設值 - 200 GB
  + RDS 執行個體類型：預設值 - db.m5.large
+  *客戶堡*壘：共用服務帳戶中會提供 SSH 或 RDP 堡壘 （或兩者），供您存取 AMS 環境中的其他主機。若要以使用者身分存取 AMS 網路 (SSH/RDP)，您必須使用「客戶」堡壘做為進入點。網路路徑源自內部部署網路，經過 DX/VPN 到傳輸閘道 (TGW)，然後路由到共用服務 VPC。一旦您能夠存取堡壘，就可以跳到 AMS 環境中的其他主機，前提是已授予存取請求。
  + SSH 堡壘需要下列輸入。
    + SSH 堡壘所需執行個體容量：預設值 - 2。
    + SSH 堡壘上限執行個體：預設值 - 4。
    + SSH 堡壘最小執行個體：預設值 -2。
    + SSH 堡壘執行個體類型：預設值 - m5.large （可以變更為節省成本，例如 t3.medium)。
    + SSH 堡壘傳入 CIDRs：您網路中的使用者存取 SSH 堡壘的 IP 地址範圍。
  + Windows RDP 堡壘需要下列輸入。
    + RDP 堡壘執行個體類型：預設值 - t3.medium。
    + RDP 堡壘所需最短工作階段：預設值 - 2。
    + RDP 工作階段上限：預設值 -10。
    + RDP 堡壘組態類型：您可以選擇下列其中一個組態
      + SecureStandard = 使用者會收到一個堡壘，只有一個使用者可以連接到堡壘。
      + SecureHA = 使用者在兩個不同的可用區域中接收兩個堡壘以連接到 ，只有一個使用者可以連接到堡壘。
      + SharedStandard = 使用者會收到一個要連線的堡壘，兩個使用者可以一次連線到相同的堡壘。
      + SharedHA = 使用者可以在兩個不同的可用區域中接收兩個堡壘以連接到 ，而兩個使用者可以一次連接到相同的堡壘。
    + 客戶 RDP 傳入 CIDRs：IP 地址範圍，您網路中的使用者將從其中存取 RDP 堡壘。

# 共用服務的更新：多帳戶登陸區域
<a name="ams-dp-release-process"></a>

AMS 會每月將資料平面版本套用至受管帳戶，恕不另行通知。

AMS 使用核心 OU 來提供共用服務，例如存取、聯網、EPS、日誌儲存、多帳戶登陸區域中的提醒彙總。AMS 負責解決這些共用服務的漏洞、修補和部署。AMS 會定期更新用於提供這些共用服務的資源，讓使用者可存取最新功能和安全性更新。更新通常每月進行。屬於這些更新一部分的資源包括：
+ 屬於核心 OU 的帳戶。

  管理帳戶、共享服務帳戶、網路帳戶、安全帳戶和日誌封存帳戶具有 RDP 和 SSH 堡壘、代理、管理主機和端點安全 (EPS) 的資源，通常每月更新。AMS 使用不可變的 EC2 部署做為共用服務基礎設施的一部分。
+ 整合最新更新的新 AMS AMIs。

**注意**  
AMS 運算子會在執行資料平面變更時利用內部警示抑制變更類型 (CT)，且該 CT 的 RFC 會出現在您的 RFC 清單中。這是因為在部署資料平面版本時，各種基礎設施可能會關閉、重新啟動、離線，或者可能會有 CPU 峰值或其他觸發警示的部署效果，這些警示在資料平面部署期間是不必要的。部署完成後，所有基礎設施都會驗證為正確執行，且警示會重新啟用。

# Log Archive 帳戶
<a name="logging-account"></a>

Log Archive 帳戶做為在 AMS 多帳戶登陸區域環境中封存日誌的中心中樞。帳戶中有一個 S3 儲存貯體，其中包含來自每個 AMS 多帳戶登陸區域環境帳戶的 AWS CloudTrail 和 AWS Config 日誌檔案副本。您可以使用此帳戶搭配 AWS Firehose 或 Splunk 等集中式記錄解決方案。此帳戶的 AMS 存取僅限於少數使用者；僅限稽核人員和安全團隊進行與帳戶活動相關的合規和鑑識調查。

![\[Log Archive Account diagram showing Aggregated CloudTrail Logs and Aggregated Config Logs icons.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/malzLogAccount.png)


# 安全帳戶
<a name="security-account"></a>

安全帳戶是用於存放安全相關操作的中樞，也是將通知和提醒漏接至 AMS 控制平面服務的要點。此外，安全帳戶會存放 Amazon Guard Duty 管理帳戶和 AWS Config 彙總工具。

![\[Security Account diagram showing GuardDuty Master, Simple Notification System, and Config Aggregator.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/malzSecurityAccount.png)


# 應用程式帳戶類型
<a name="application-account"></a>

應用程式帳戶是您用來託管工作負載的 AMS 受管登陸區域架構中的 AWS 帳戶。AMS 提供三種類型的應用程式帳戶：
+ [AMS 受管應用程式帳戶](application-account-ams-managed.md)
+ [AMS Accelerate 帳戶](malz-accelerate-account.md)
+ [客戶受管應用程式帳戶](application-account-cust-man.md)

根據應用程式帳戶類型，應用程式帳戶會在 AWS Organizations 中的不同 OUs 中分組：
+ 根 OU：

  1. 應用程式 OU
     + 受管 OU：AMS 受管帳戶
     + 開發 OU：啟用開發人員模式的 AMS 受管帳戶

  1. 加速 OU：AMS 加速應用程式帳戶

  1. 客戶受管 OU：客戶受管應用程式帳戶

應用程式帳戶是透過從 管理帳戶提交的 RFC 佈建：
+ 使用 VPC [ct-1zdasmc2ewzrs](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-application-account-with-vpc.html) 建立應用程式帳戶
+ 建立加速帳戶 [ct-2p93tyd5angmi](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html)
+ 建立客戶受管應用程式帳戶 [ct-3pwbixz27n3tn](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html)

# AMS 受管應用程式帳戶
<a name="application-account-ams-managed"></a>

完全由 AMS 管理的應用程式帳戶稱為 AMS 受管應用程式帳戶，其中部分或所有操作任務，例如服務請求管理、事件管理、安全管理、持續性管理 （備份）、修補程式管理、成本最佳化，或基礎設施的監控和事件管理，皆由 AMS 執行。

AMS 執行的任務數量取決於您選擇的變更管理模式。AMS 受管帳戶支援不同的變更管理模式：
+ [RFC 模式](rfc-mode.md)
+ [AMS 中的直接變更模式](direct-change-mode-section.md)
+ [AMS 和 AWS Service Catalog](ams-service-catalog-section.md)
+ [AMS 進階開發人員模式](developer-mode-section.md)
+ [AMS 中的自助式佈建模式](self-service-provisioning-section.md)

如需變更管理和不同模式的詳細資訊，請參閱 [變更管理模式](using-change-management.md)。

有些 AWS 服務可在 AMS 受管帳戶中使用，無需 AMS 管理。這些 AWS 服務的清單以及如何將其新增至您的 AMS 帳戶，如[自助式佈建](https://docs.aws.amazon.com/managedservices/latest/userguide/self-service-provisioning-section.html)一節所述。

# AMS Accelerate 帳戶
<a name="malz-accelerate-account"></a>

AMS Accelerate 是 AMS 操作計劃，可操作支援工作負載的 AWS 基礎設施。您可以受益於 AMS Accelerate 操作服務，例如監控和提醒、事件管理、安全管理和備份管理，而無需進行新的遷移、遇到停機時間或變更您使用 AWS 的方式。AMS Accelerate 也為需要定期修補的 EC2 型工作負載提供選用的修補程式附加元件。

使用 AMS Accelerate，您可以自由地原生使用、設定和部署所有 AWS 服務，或使用您偏好的工具。您將使用您偏好的存取和變更機制，同時 AMS 會一致地套用經過驗證的實務，以協助擴展您的團隊、最佳化成本、提高安全性和效率，以及改善彈性。

**注意**  
AMS Advanced 中的 AMS Accelerate 帳戶沒有 AMS 變更管理 (RFCs) 或 AMS Advanced 主控台。相反地，它們具有 AMS Accelerate 主控台和功能。

加速帳戶只能從您的 AMS 多帳戶登陸區域管理帳戶佈建。Accelerate 提供不同的操作功能。如需進一步了解，請參閱[加速服務描述](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html)。
+ 您將繼續享受多帳戶登陸區域 (MALZ) 核心帳戶的一些功能，例如集中式記錄、單一帳單、安全帳戶和 SCPs中的組態彙總器。
+ AMS Accelerate 不提供某些 AMS Advanced 服務，例如 EPS、存取管理、變更管理和佈建。我們建議您遵循後續步驟來存取和設定傳輸閘道 (TGW)。

如需 Accelerate 的詳細資訊，請參閱[什麼是 Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/what-is-acc.html)。

## 建立您的 Accelerate 帳戶
<a name="ams-add-acc-ct"></a>

若要建立 Accelerate 帳戶，請依照此處概述的步驟[建立 Accelerate 帳戶](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html#deployment-managed-management-account-create-accelerate-account-info)。

## 存取您的 Accelerate 帳戶
<a name="ams-add-acc-access"></a>

在多帳戶登陸區域 (MALZ) 帳戶中佈建 Accelerate 帳戶後，具有[管理存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator)許可 的角色`AccelerateDefaultAdminRole`會位於帳戶中供您擔任。

若要存取新的 Accelerate 帳戶：

1. 使用 `CustomerDefaultAssumeRole`角色登入管理帳戶的 IAM 主控台。

1. 在 IAM 主控台的導覽列上，選擇您的使用者名稱。

1. 選擇 **Switch Role** (切換角色)。如果這是第一次選擇此選項，則頁面會顯示更多資訊。讀取後，選擇 **Switch Role (切換角色)**。如果清除瀏覽器 cookie，則此頁面可以再次顯示

1. 在**切換角色**頁面上，輸入加速帳戶 ID 和要擔任的角色名稱：`AccelerateDefaultAdminRole`。

現在您已擁有存取權，您可以建立新的 IAM 角色，以繼續存取您的環境。如果您想要為 Accelerate 帳戶利用 SAML 聯合，請參閱[啟用 SAML 2.0 聯合身分使用者以存取 AWS 管理主控台](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)。

## 將您的 Accelerate 帳戶與 Transit Gateway 連線
<a name="ams-add-acc-connect-tgw"></a>

AMS 不會管理 Accelerate 帳戶的網路設定。您可以選擇使用 AWS APIs 管理自己的網路 （請參閱[網路解決方案](https://aws.amazon.com/solutionspace/networking/))，或使用 AMS MALZ 中部署的現有 Transit Gateway (TGW) 連線至 AMS 管理的 MALZ 網路。

**注意**  
如果 Accelerate 帳戶位於相同的 AWS 區域，您只能將 VPC 連接到 TGW。如需詳細資訊，請參閱[傳輸閘道](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。

若要將 Accelerate 帳戶新增至 Transit Gateway，請使用 [ 部署 \$1 受管登陸區域 \$1 網路帳戶 \$1 新增靜態路由 ](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html)(ct-3r2ckznmt0a59) 變更類型來請求新路由，請包含此資訊：
+ **Blackhole**：True 表示路由的目標無法使用。當傳輸閘道要捨棄靜態路由的流量時，請執行此操作。將流量路由到指定 TGW 連接 ID 的 False。預設值為 false。
+ **DestinationCidrBlock**：用於目的地比對的 IPV4 CIDR 範圍。路由決策是根據最明確的匹配。範例：10.0.2.0/24。
+ **TransitGatewayAttachmentId**：做為路由表目標的 TGW 附件 ID。如果 **Blackhole** 為 false，則需要此參數，否則將此參數保留空白。範例：tgw-attach-04eb40d1e14ec7272。
+ **TransitGatewayRouteTableId**：TGW 路由表的 ID。範例：tgw-rtb-06ddc751c0c0c881c。

在 TGW 路由表中建立路由以連線至此 VPC：

1. 根據預設，此 VPC 將無法與 MALZ 網路中的任何其他 VPCs通訊。

1. 與您的解決方案架構師一起決定您希望此加速 VPCs 與哪些 VPC 通訊。

1. 提交[部署 \$1 受管登陸區域 \$1 網路帳戶 \$1 新增靜態路由 ](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html)(ct-3r2ckznmt0a59) 變更類型，包括此資訊：
   + **Blackhole**：True 表示路由的目標無法使用。當傳輸閘道要捨棄靜態路由的流量時，請執行此操作。將流量路由到指定 TGW 連接 ID 的 False。預設值為 false。
   + **DestinationCidrBlock**：用於目的地比對的 IPV4 CIDR 範圍。路由決策是根據最明確的匹配。範例：10.0.2.0/24。
   + **TransitGatewayAttachmentId**：做為路由表目標的 TGW 附件 ID。如果 **Blackhole** 為 false，則需要此參數，否則將此參數保留空白。範例：tgw-attach-04eb40d1e14ec7272。
   + **TransitGatewayRouteTableId**：TGW 路由表的 ID。範例：tgw-rtb-06ddc751c0c0c881c。

**將新的 Accelerate 帳戶 VPC 連線至 AMS 多帳戶登陸區域網路 （建立 TGW VPC 連接）**：

1. 在您的多帳戶登陸區域聯網帳戶中，開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。

1. 在導覽窗格中，選擇 **Transit Gateways** (傳輸閘道)。記錄您看到的傳輸閘道的 TGW ID。

1.  在您的 Accelerate 帳戶中，開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。

1. 在導覽窗格中，選擇**傳輸閘道附件** > **建立傳輸閘道附件**。做出這些選擇：
   + 針對**傳輸閘道 ID**，選擇您在步驟 2 中記錄的傳輸閘道 ID。
   + 在 **Attachment type** (連接類型)中，選擇 **VPC**。
   + 在 **VPC Attachment (VPC 連接)** 中，您可選擇輸入 **Attachment name tag (連接名稱標籤)** 的名稱。
   + 選擇是否啟用 **DNS support (DNS 支援)** 和 **IPv6 Support (IPv6 支援)**。
   + 對於 **VPC ID**，請選擇要連接至傳輸閘道的 VPC。此 VPC 必須至少有一個子網路與之建立關聯。
   + 在**子網路 ID** 中，為每個可用區域選取傳輸閘道用來路由流量的一個子網路。您必須選擇至少一個子網路。一個可用區域只能選取一個子網路。

1. 選擇 **Create attachment (建立連接)**。記錄新建立的 TGW 附件 ID。

**將 TGW 連接與路由表建立關聯**：

1. 決定要與 VPC 建立關聯的 TGW 路由表。建議您使用部署 \$1 受管登陸區域 \$1 網路帳戶 \$1 建立傳輸閘道路由表 (ct-3dscwaeyi6cup) 變更類型，為加速帳戶 VPCs 建立新的應用程式路由表。

1. 在網路帳戶上提交[管理 \$1 受管登陸區域 \$1 網路帳戶 \$1 關聯 TGW 連接](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-networking-account-associate-tgw-attachment.html) (ct-3nmhh0qr338q6) RFC，將 VPC 或 TGW 連接與您選取的路由表建立關聯。

**在 TGW 路由表中建立路由以連線至此 VPC**：

1. 根據預設，此 VPC 將無法與多帳戶登陸區域網路中的任何其他 VPCs 通訊。

1. 與您的解決方案架構師一起決定您希望此加速帳戶 VPCs 與哪些 VPC 通訊。

1. 提交[部署 \$1 受管登陸區域 \$1 網路帳戶 \$1 針對網路帳戶新增靜態路由 ](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html)(ct-3r2ckznmt0a59) RFC，以建立您需要的 TGW 路由。

**將 VPC Route 資料表設定為指向 AMS 多帳戶登陸區域傳輸閘道**：

1. 與您的解決方案架構師一起決定您要將哪些流量傳送至 AMS 多帳戶登陸區域傳輸閘道。

1. 提交[部署 \$1 受管登陸區域 \$1 網路帳戶 \$1 針對網路帳戶新增靜態路由 ](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html)(ct-3r2ckznmt0a59) RFC，以建立您需要的 TGW 路由。

# 客戶受管應用程式帳戶
<a name="application-account-cust-man"></a>

您可以建立 AMS 未以標準方式管理的帳戶。這些帳戶稱為客戶受管帳戶，可讓您完全控制在帳戶中自行操作基礎設施，同時享受由 AMS 管理的集中式架構的優點。

客戶受管帳戶無法存取 AMS 主控台或我們提供的任何服務 （修補程式、備份等）。

客戶受管帳戶只能從您的 AMS 多帳戶登陸區域管理帳戶佈建。

不同的 AMS 模式以不同的方式使用應用程式帳戶；若要進一步了解模式，請參閱 [AWS Managed Services 模式](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/ams-modes.html)。

若要建立您的客戶受管應用程式帳戶，請參閱[管理帳戶 \$1 建立客戶受管應用程式帳戶](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html)。

若要刪除客戶受管應用程式帳戶，請使用[管理帳戶 \$1 離線應用程式帳戶](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html)。([確認離職](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-application-account-confirm-offboarding.html) CT 不適用於客戶受管應用程式帳戶。)

# 存取您的客戶受管帳戶
<a name="application-account-cust-man-access"></a>

在多帳戶登陸區域中佈建客戶受管帳戶 (CMA) 之後，管理員角色 (MALZ) `CustomerDefaultAdminRole`會位於帳戶中，供您透過 SAML 聯合身分擔任以設定帳戶。

若要存取 CMA：

1. 使用 **CustomerDefaultAssumeRole** 角色登入管理帳戶的 IAM 主控台。

1. 在 IAM 主控台的導覽列上，選擇您的使用者名稱。

1. 選擇 **Switch Role** (切換角色)。如果這是第一次選擇此選項，則頁面會顯示更多資訊。讀取後，選擇 **Switch Role (切換角色)**。如果清除瀏覽器 cookie，則此頁面可以再次顯示

1. 在**切換角色**頁面上，輸入客戶受管帳戶 ID 和要擔任的角色名稱：**CustomerDefaultAdminRole**。

現在您已擁有存取權，您可以建立新的 IAM 角色，以繼續存取您的環境。如果您想要為 CMA 帳戶利用 SAML 聯合，請參閱[啟用 SAML 2.0 聯合身分使用者以存取 AWS 管理主控台](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)。

# 將您的 CMA 與 Transit Gateway 連線
<a name="application-account-cust-man-connect-tg"></a>

AMS 不會管理客戶受管帳戶 (CMAs) 的網路設定。您可以選擇使用 AWS APIs 管理自己的網路 （請參閱[網路解決方案](https://aws.amazon.com/solutionspace/networking/))，或使用 AMS MALZ 中部署的現有 Transit Gateway (TGW) 連線至 AMS 管理的多帳戶登陸區域網路。

**注意**  
如果 CMA 位於相同的 AWS 區域，您只能將 VPC 連接到 TGW。如需詳細資訊，請參閱[傳輸閘道](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。

若要將 CMA 新增至 Transit Gateway，請使用[網路帳戶請求新路由 \$1 新增靜態路由 (ct-3r2ckznmt0a59)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) 變更類型，並包含此資訊：
+ **Blackhole**：True 表示路由的目標無法使用。當傳輸閘道要捨棄靜態路由的流量時，請執行此操作。將流量路由到指定 TGW 連接 ID 的 False。預設值為 false。
+ **DestinationCidrBlock**：用於目的地比對的 IPV4 CIDR 範圍。路由決策是根據最明確的匹配。範例：`10.0.2.0/24`。
+ **TransitGatewayAttachmentId**：做為路由表目標的 TGW 附件 ID。如果 **Blackhole** 為 false，則需要此參數，否則將此參數保留空白。範例：`tgw-attach-04eb40d1e14ec7272`。
+ **TransitGatewayRouteTableId**：TGW 路由表的 ID。範例：`tgw-rtb-06ddc751c0c0c881c`。

**將新的客戶受管 VPC 連線至 AMS 多帳戶登陸區域網路 （建立 TGW VPC 連接）**：

1. 在您的多帳戶登陸區域聯網帳戶中，開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。

1. 在導覽窗格中，選擇**傳輸閘道**。記錄您看到的傳輸閘道的 TGW ID。

1. 在您的客戶受管帳戶中，開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。

1. 在導覽窗格中，選擇**傳輸閘道附件** > **建立傳輸閘道附件**。做出這些選擇：

   1. 針對**傳輸閘道 ID**，選擇您在步驟 2 中記錄的傳輸閘道 ID。

   1. 在 **Attachment type** (連接類型)中，選擇 **VPC**。

   1. 在 **VPC Attachment (VPC 連接)** 中，您可選擇輸入 **Attachment name tag (連接名稱標籤)** 的名稱。

   1. 選擇是否啟用 **DNS support (DNS 支援)** 和 **IPv6 Support (IPv6 支援)**。

   1. 對於 **VPC ID**，請選擇要連接至傳輸閘道的 VPC。此 VPC 必須至少有一個子網路與之建立關聯。

   1. 在**子網路 ID** 中，為每個可用區域選取傳輸閘道用來路由流量的一個子網路。您必須選擇至少一個子網路。一個可用區域只能選取一個子網路。

1. 選擇 **Create attachment (建立連接)**。記錄新建立的 TGW 附件 ID。

 

**將 TGW 連接與路由表建立關聯**：

決定要與 VPC 建立關聯的 TGW 路由表。我們建議您提交部署 \$1 受管登陸區域 \$1 網路帳戶 \$1 建立傳輸閘道路由表 (ct-3dscwaeyi6cup) RFC，為客戶受管 VPCs 建立新的應用程式路由表。若要將 VPC 或 TGW 連接與您選取的路由表建立關聯，請在網路帳戶上提交部署 \$1 受管登陸區域 \$1 網路帳戶 \$1 關聯 TGW 連接 (ct-3nmhh0qr338q6) RFC。

 

**在 TGW 路由表中建立路由以連線至此 VPC**：

1. 根據預設，此 VPC 將無法與多帳戶登陸區域中的任何其他 VPCs 通訊。

1. 與您的解決方案架構師一起決定您希望此客戶受管 VPCs 與哪些 VPC 通訊。提交部署 \$1 受管登陸區域 \$1 網路帳戶 \$1 針對網路帳戶新增靜態路由 (ct-3r2ckznmt0a59) RFC，以建立您需要的 TGW 路由。

**注意**  
此 CT (ct-3r2ckznmt0a59) 不允許將靜態路由新增至核心路由表 EgressRouteDomain；如果您的 CMA 需要允許輸出流量，請使用 ct-0xdawir96cy7k 提交管理 \$1 其他 \$1 其他 (MOO) RFC。

 

**將 VPC Route 資料表設定為指向 AMS 多帳戶登陸區域傳輸閘道**：

與您的解決方案架構師一起決定您要將哪些流量傳送至 AMS 多帳戶登陸區域傳輸閘道。更新您的 VPC 路由表，將流量傳送至先前建立的 TGW 連接

# 取得客戶受管帳戶的操作說明
<a name="application-account-cust-man-op-help"></a>

AMS 可以透過將帳戶加入 AMS Accelerate，協助您操作您在客戶受管帳戶中部署的工作負載。透過 AMS Accelerate，您可以受益於營運服務，例如監控和提醒、事件管理、安全管理和備份管理，而無需進行新的遷移、遇到停機時間或變更使用方式 AWS。AMS Accelerate 也為需要定期修補的 EC2-based工作負載提供選用的修補程式附加元件。透過 AMS Accelerate，您可以繼續使用、設定和部署所有原生 AWS 服務，或使用您偏好的工具；就像使用 AMS Advanced Customer Managed 帳戶一樣。您會使用偏好的存取和變更機制，同時 AMS 會套用經過驗證的實務，以協助擴展您的團隊、最佳化成本、提高安全性和效率，以及改善彈性。如需進一步了解，請參閱[加速服務描述](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html)。

若要將客戶受管帳戶加入 Accelerate，請聯絡您的 CSDM，並遵循 [AMS Accelerate 入門](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/getting-started-acc.html)中的步驟。

**注意**  
AMS Advanced 中的 AMS Accelerate 帳戶沒有 AMS 變更管理 （變更請求或 RFCs) 或 AMS Advanced 主控台。相反地，它們具有 AMS Accelerate 主控台和功能。

# AMS 工具帳戶 （遷移工作負載）
<a name="tools-account"></a>

您的多帳戶登陸區域工具帳戶 （使用 VPC) 有助於加速遷移工作、提高安全位置、降低成本和複雜性，以及標準化您的使用模式。

工具帳戶提供下列項目：
+ 明確定義的界限，可讓您在生產工作負載之外存取系統整合商的複寫執行個體。
+ 可讓您建立隔離的培養室，在將工作負載放入具有其他工作負載的 帳戶之前，檢查工作負載是否有惡意軟體或未知的網路路由。
+ 作為定義的帳戶設定，它可以更快地加入和設定遷移工作負載。
+ 隔離的網路路由可保護來自內部部署 -> CloudEndure -> 工具帳戶 -> AMS 擷取映像的流量。擷取映像後，您可以透過 AMS 管理 \$1 進階堆疊元件 \$1 AMI \$1 共用 (ct-1eiczxw8ihc18) RFC 將映像分享至目的地帳戶。

高階架構圖：

![\[AWS 帳戶 structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/high-level-diagram_v1.png)


使用部署 \$1 受管登陸區域 \$1 管理帳戶 \$1 建立工具帳戶 （使用 VPC) 變更類型 (ct-2j7q1hgf26x5c)，快速部署工具帳戶，並在多帳戶登陸區域環境中執行個體化工作負載擷取程序。請參閱[管理帳戶、工具帳戶：建立 （使用 VPC)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-malz-master-acct-create-tools-acct-col.html)。

**注意**  
我們建議您有兩個可用區域 AZs)，因為這是遷移中樞。  
根據預設，AMS 會在每個帳戶中建立下列兩個安全群組 SGs)。確認這兩個 SGs存在。如果它們不存在，請向 AMS 團隊開啟新的服務請求，以請求它們。  
SentinelDefaultSecurityGroupPrivateOnlyEgressAll
InitialGarden-SentinelDefaultSecurityGroupPrivateOnly
確保 CloudEndure 複寫執行個體是在有路由傳回內部部署的私有子網路中建立。您可以確認私有子網路的路由表具有傳回 TGW 的預設路由。不過，執行 CloudEndure 機器切換應該進入「隔離」私有子網路，其中沒有傳回內部部署的路由，僅允許網際網路傳出流量。請務必確保隔離子網路中發生切換，以避免內部部署資源的潛在問題。

事前準備：

1. **Plus** 或 **Premium** 支援層級。

1. 部署 AMIs 之 KMS 金鑰的應用程式帳戶 IDs。

1. 工具帳戶，如先前所述建立。

# AWS Application Migration Service (AWS MGN)
<a name="tools-account-mgn"></a>

[AWS Application Migration Service](https://aws.amazon.com/application-migration-service/) (AWS MGN) 可透過工具帳戶佈建期間自動建立的 `AWSManagedServicesMigrationRole` IAM 角色，在您的 MALZ Tools 帳戶中使用。您可以使用 AWS MGN 遷移在支援的 Windows 和 Linux [作業系統](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)版本上執行的應用程式和資料庫。

如需 AWS 區域 支援up-to-date，請參閱[AWS 區域服務清單](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。

如果 AWS MGN AWS 區域 目前不支援您的偏好，或 AWS MGN 目前不支援應用程式執行所在的作業系統，請考慮改為在工具帳戶中使用 [CloudEndure 遷移](https://console.cloudendure.com/#/register/register)。

**請求 AWS MGN 初始化**

AWS MGN 必須在第一次使用前由 AMS [初始化](https://docs.aws.amazon.com/mgn/latest/ug/mandatory-setup.html)。若要為新的工具帳戶請求此項目，請從工具帳戶提交管理 \$1 其他 \$1 其他 RFC，其中包含下列詳細資訊：

```
RFC Subject=Please initialize AWS MGN in this account
RFC Comment=Please click 'Get started' on the MGN welcome page here: 
    [ https://console.aws.amazon.com/mgn/home?region=*MALZ\$1PRIMARY\$1REGION*\$1/welcome](https://console.aws.amazon.com/mgn/home?region=AP-SOUTHEAST-2#/welcome) using all default values 
    to 'Create template' and complete the initialization process.
```

一旦 AMS 成功完成 RFC 並初始化工具帳戶中的 AWS MGN，您可以使用 `AWSManagedServicesMigrationRole` 來編輯預設範本以符合您的需求。

![\[AWS MGN，設定應用程式遷移服務。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/aws_mgn_firstrun.png)


# 啟用對新 AMS 工具帳戶的存取
<a name="tools-account-enable"></a>

工具帳戶建立後，AMS 會為您提供帳戶 ID。您的下一個步驟是設定新帳戶的存取權。請遵循下列步驟。

1. 將適當的 Active Directory 群組更新為適當的帳戶 IDs。

   新 AMS 建立的帳戶會佈建 ReadOnly 角色政策，以及允許使用者提交 RFCs的角色。

   工具帳戶也有額外的 IAM 角色和可用的使用者：
   + IAM 角色： `AWSManagedServicesMigrationRole`
   + IAM 使用者： `customer_cloud_endure_user`

1. 請求政策和角色，以允許服務整合團隊成員設定下一個層級的工具。

   導覽至 AMS 主控台並存檔下列 RFCs：

   1. 建立 KMS 金鑰。使用[建立 KMS 金鑰 （自動）](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-auto-col.html) 或[建立 KMS 金鑰 （需要檢閱）](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-rr-col.html)。

      當您使用 KMS 加密擷取的資源時，使用與其餘多帳戶登陸區域應用程式帳戶共用的單一 KMS 金鑰，可為可在目的地帳戶中解密的擷取影像提供安全性。

   1. 共用 KMS 金鑰。

      使用 管理 \$1 進階堆疊元件 \$1 KMS 金鑰 \$1 共用 （需要檢閱） 變更類型 (ct-05yb337abq3x5)，請求將新的 KMS 金鑰分享給將存放擷取 AMIs 的應用程式帳戶。

最終帳戶設定的範例圖形：

![\[AWS architecture diagram showing Migration VPC, IAM, and Permissions with various components and connections.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/WIGS_Account_ExpandedV1.png)


# 範例 AMS 預先核准的 IAM CloudEndure 政策
<a name="tools-account-ex-policy"></a>

若要查看 AMS 預先核准的 IAM CloudEndure 政策：解壓縮 [WIGS 雲端持久性登陸區域範例](samples/wigs-ce-lz-examples.zip)檔案，然後開啟 `customer_cloud_endure_policy.json`。

# 測試 AMS Tools 帳戶連線和end-to-end設定
<a name="tools-account-test"></a>

1. 從設定 CloudEndure 開始，並在將複寫至 AMS 的伺服器上安裝 CloudEndure 代理程式。

1. 在 CloudEndure 中建立專案。

1. 透過 Secrets Manager，輸入執行先決條件時共用的 AWS 登入資料。

1. 在**複寫設定**中：

   1. 針對選擇要**套用至複寫伺服器的安全群組選項，選取兩個 AMS "Sentinel" 安全群組** （僅限私有和 EgressAll)。

   1. 定義機器的切換選項 （執行個體）。如需詳細資訊，請參閱[步驟 5。剪下](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-factory-cloudendure/step5.html)

   1. **子網路**：私有子網路。

1. **安全群組**：

   1. 選取兩個 AMS "Sentinel" 安全群組 （僅限私有和 EgressAll)。

   1. 切換執行個體必須與 AMS 受管 Active Directory (MAD) 和 AWS 公有端點通訊：

      1. **彈性 IP**：無

      1. **公有 IP**：否

      1. **IAM 角色**：Customer-mc-ec2-instance-profile

   1. 根據您的內部標記慣例設定標籤。

1. 在機器上安裝 CloudEndure 代理程式，並在 EC2 主控台中尋找要在 AMS 帳戶中出現的複寫執行個體。

AMS 擷取程序：

![\[Flowchart showing AMS ingestion process steps from customer instance to application deployment.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/Ingestion_Process_v1.png)


# AMS Tools 帳戶衛生
<a name="tools-account-hygiene"></a>

在帳戶中完成共用 AMI 且不再需要複寫的執行個體之後，您會想要清除 ：
+ 執行個體後 WIGs擷取：
  + 切換執行個體：在工作完成後，至少透過 AWS 主控台停止或終止此執行個體
  + 擷取前 AMI 備份：擷取執行個體並終止現場部署執行個體後移除
  + AMS 擷取的執行個體：共用 AMI 後關閉堆疊或終止
  + AMS 擷取AMIs：與目的地帳戶共用完成後刪除
+ 遷移清除結束：記錄透過開發人員模式部署的資源，以確保定期進行清除，例如：
  + 安全群組
  + 透過 Cloud-formation 建立的資源
  + 網路 ACK
  + 子網路
  + VPC
  + 路由表
  + 角色
  + 使用者和帳戶

# 大規模遷移 - 遷移工廠
<a name="migration-factory"></a>

請參閱 [AWS CloudEndure 遷移工廠解決方案簡介](https://aws.amazon.com/about-aws/whats-new/2020/06/introducing-aws-cloudendure-migration-factory-solution/)。