本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 服務描述
AMS Advanced (AMS) 是 AWS Managed Services 服務的操作計劃,用於管理 AWS 基礎設施的操作。AMS Advanced 提供例行基礎設施操作,例如修補程式、持續性管理、安全管理和 IT 管理程序,例如事件、變更和服務請求管理。如需支援服務的清單,請參閱 [支援 AWS 的服務](supported-services.md)。
**YouTube 影片**:[AMS 如何協助我在雲端中實現卓越營運?](https://youtu.be/wpfPthp3tw8)
**Topics**
+ [AWS Managed Services (AMS) AMS 進階操作計劃功能](features.md)
+ [我們做什麼、我們不做什麼](ams-do-not-do.md)
+ [AMS 責任矩陣 (RACI)](raci-table.md)
+ [AMS 環境基本元件](basic-components.md)
+ [AMS 帳戶限制](account-limits.md)
+ [AMS 服務水準目標 SLOs)](apx-slo.md)
+ [支援 AWS 的服務](supported-services.md)
+ [支援的組態](supported-configs.md)
+ [AMS 中不支援作業系統的功能](ams-unsupported-os.md)
+ [AMS 進階介面](ams-interfaces.md)
+ [AMS VPC 端點](ams-endpoints.md)
+ [AMS 受保護的命名空間](apx-namespaces.md)
+ [AMS 預留字首](ams-reserved-prefixes-2.md)
+ [AMS 維護時段](maintenance-win.md)
# AWS Managed Services (AMS) AMS 進階操作計劃功能
AMS Advanced 為支援的 AWS 服務提供下列功能:
+ **記錄、監控、護欄和事件管理**:
AMS 會設定和監控受管環境的記錄活動,並根據各種運作狀態檢查定義提醒。AMS 會調查適用 AWS 服務的提醒,而對這些服務的使用產生負面影響的提醒會導致事件的建立。AMS 會彙總和儲存因 CloudWatch、CloudTrail 和 Amazon S3 中系統日誌中的所有操作所產生的所有日誌。您可以要求設定其他提醒。除了 AMS 的預防性控制之外,AMS 部署組態防護機制和偵測性控制,以持續保護您免受可能降低受管帳戶操作和安全性完整性的錯誤組態,進而強制執行您的控制,例如標記和合規。當偵測到受監控的控制項時,會產生警示,根據您可以修改的預先定義 AMS 預設值,導致資源的通知、修改或終止。
+ **持續性管理** (備份和還原):
AMS 會根據您決定的排程間隔,使用標準的現有 AWS Backup 功能提供資源備份。AMS 可以使用 RFC 從特定快照執行還原動作。快照間隔之間發生的資料變更是您備份的責任。您可以在排程間隔之外提交 RFC 以進行備份或快照請求。在 AWS 區域中無法使用可用區域 (AZ) 的情況下,AMS 會在您的許可下,根據受影響的堆疊的範本和可用的 EBS 快照重新建立新的堆疊,以還原受管環境。
+ **安全性和存取管理**:
AMS 提供端點安全性 (EPS),例如設定防毒和反惡意軟體保護。您也可以使用自己的 EPS 工具和程序,不使用 AMS for EPS 使用稱為自有 EPS (BYOEPS) 的功能。AMS 也會設定您在加入期間核准的預設 AWS 安全功能,例如 AWS Identity and Access Management (IAM) 角色和 Amazon EC2 安全群組,並使用標準 AWS 工具 (例如 AWS Security Hub CSPM Amazon Macie、Amazon GuardDuty) 來監控和回應安全問題。您可以透過您提供的已核准目錄服務來管理您的使用者。如需核准的目錄服務清單,請參閱 [支援的組態](supported-configs.md)。
AMS 包含端點安全 (EPS),其中包含防毒 (AV) 和反惡意軟體保護、惡意軟體和入侵偵測 (Trend Micro)。安全群組是根據堆疊範本定義,並在啟動時根據應用程式 (公有/私有) 安全群組的可見性進行修改。
透過變更管理變更請求 (RFCs) 請求存取系統。存取管理可讓您存取不同的資源,例如 Amazon EC2 執行個體 AWS 管理主控台、 和 APIs。在加入和聯合至 AWS 期間與 AMS Microsoft Active Directory 部署建立單向信任之後,您可以使用現有的公司登入資料進行所有互動。
+ **修補程式管理**:
AMS 會針對支援的作業系統 (OSs) 和預先安裝支援的作業系統的軟體,套用並安裝 EC2 執行個體的更新。如需支援的作業系統清單,請參閱 [支援的組態](supported-configs.md)。
AMS 提供兩種用於修補的模型:
+ 傳統帳戶型修補的 AMS 標準修補程式,以及
+ AMS Patch Orchestrator,用於標籤型修補。
在 AMS 標準修補程式中,您可以選擇每月維護時段,讓 AMS 執行大多數修補活動。AMS 會在選取的維護時段之外 (使用適當的通知) 套用*重要的安全性更新*,並在選取的維護時段期間套用*重要的更新*。AMS 還會在選取的維護時段將更新套用至基礎設施管理工具。您可以視需要從修補程式管理中排除堆疊或拒絕更新。
使用 AMS Patch Orchestrator,每個帳戶的預設維護時段由您定義,以便 AMS 執行修補活動。您可以為 AMS 排程額外的自訂維護時段,以使用標籤修補您定義的一組特定執行個體。AMS 會套用所有可用的更新,但您可以透過建立自訂修補程式基準來篩選或拒絕更新。對於這兩種模型,如果您核准或拒絕修補程式管理下提供的更新,但之後改變主意,則需負責透過 RFC 啟動更新。AMS 會追蹤資源的修補程式狀態,並在每月業務審查中反白不是最新的系統。修補程式管理僅限於受管環境中的堆疊,包括所有 AMS 受管應用程式和支援具有修補功能的 AWS 服務 (例如 RDS)。為了在更新發佈時支援所有類型的基礎設施組態,AMS a) 會更新 EC2 執行個體,b) 提供更新的 AMS AMI 供您使用。您有責任安裝、設定、修補和監控上述未特別涵蓋的任何其他應用程式。
+ **變更管理**:
AMS 變更管理是您控制受管環境中變更的機制。AMS 使用預防性和偵測性控制的組合來促進此程序,並根據選取的 AMS 模式提供不同層級的控制和相關聯的風險。
AMS 環境中的所有動作都會登入 AWS CloudTrail。
如需 AMS 變更管理和不同模式的詳細資訊,請參閱 [AMS 變更管理指南](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)和 [AMS 模式](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-ug.html)。
+ **自動化和自助式佈建管理**:
您可以在 AMS Advanced 上以多種方式佈建 AWS 資源:
+ 提交佈建和組態變更請求 (RFCs)
+ 透過 AWS Service Catalog 部署
+ 透過[直接變更模式](https://docs.aws.amazon.com/managedservices/latest/userguide/direct-change-mode.html)部署
+ 透過[開發人員模式](https://docs.aws.amazon.com/managedservices/latest/userguide/developer-mode.html)部署。請記住,透過開發人員模式建立的資源不是由 AMS 管理。
+ 針對 select AWS 服務 使用自助式佈建直接設定 AWS 服務 (請參閱 [支援 AWS 的服務](supported-services.md))。
+ **事件管理**:
AMS 會主動通知您 AMS 偵測到的事件。AMS 會回應客戶提交和 AMS 產生的事件,並根據事件優先順序解決事件。除非另有指示,否則 AMS 判斷對您受管環境的安全有風險的事件,以及與 AMS 和其他 AWS 服務可用性相關的事件,都會主動採取行動。一旦收到您的授權,AMS 就會對所有其他事件採取動作。問題管理程序會處理週期性事件。
+ **問題管理**:
AMS 執行趨勢分析以識別和調查問題,並識別根本原因。問題可透過解決方法或永久解決方案來修復,以防止未來再次發生類似的服務影響。解決後,可能會針對任何「高」事件請求事件後報告 (PIR)。PIR 會擷取根本原因和採取的預防性動作,包括實作預防性措施。
+ **報告**:
AMS 為您提供每月服務報告,摘要 AMS 的關鍵績效指標,包括執行摘要和洞察、營運指標、受管資源、AMS 服務水準協議 (SLA) 合規性,以及有關支出、節省和成本最佳化的財務指標。報告是由指派給您的 AMS 雲端服務交付管理員 (CSDM) 交付。
+ **服務請求管理: **
若要請求受管環境、AMS AWS 或服務產品的相關資訊,請使用 AMS 主控台提交服務請求。您可以提交「如何」服務與功能相關問題 AWS 的服務請求,或請求其他 AMS 服務。
+ **服務台: **
AMS 為全職 Amazon 員工提供工程操作,以滿足非自動化的請求,包括事件管理、服務請求管理和變更管理。服務台全年無休運作。
+ **指定的資源**:
每個客戶都會獲指派 Cloud Service Delivery Manager (CSDM) 和 Cloud Architect (CA)。
+ 您可以直接聯絡 CSDMs。他們在實作、遷移和營運生命週期的所有階段執行服務審查,以及交付報告和洞察。CSDMs會每月執行業務審查,並詳細說明財務支出、節省成本的建議、服務使用率和風險報告等項目。他們深入探討營運效能統計資料,並提供改善領域的建議。
+ 您可以直接聯絡 CAs並提供技術專業知識,協助您最佳化 AWS 雲端的使用。範例 CA 活動包括選取遷移的工作負載、協助加入其他帳戶和工作負載、擔任操作活動的技術主管,例如遊戲日、災難復原測試、問題管理和技術建議,以充分利用 AMS 和 AWS。CAs會在組織的各個層級推動技術討論,並協助事件管理、進行權衡、建立最佳實務和技術風險緩解。
+ **開發人員模式: **
此功能可讓您除了存取 AMS 變更管理程序之外,還允許直接存取 AWS 服務 APIs 和 AWS 主控台,以快速迭代 AMS 設定帳戶 【1】 內的基礎設施設計和部署。在變更管理程序之外使用開發人員模式許可佈建或設定的資源是您管理的責任 (請參閱「自動化和自助式佈建管理」)。透過 AMS 變更管理程序佈建的資源受到支援,就像 AMS 上其他變更管理佈建的工作負載一樣。
+ **AWS 支援**:
AMS 客戶可以選擇其補充 AMS 營運計畫所需的 AWS Support 層級。在 AMS 中註冊的帳戶可以訂閱商業支援或企業支援。若要了解 Support Plans 的差異,請參閱 [AWS Support Plans](https://aws.amazon.com/premiumsupport/plans/)。
+ **客戶受管帳戶**:
此功能可讓您在相同的受管環境中請求 AWS 帳戶,但工作負載和這些帳戶中 AWS 資源的持續操作是您的責任。AMS 會佈建客戶受管帳戶,但一旦帳戶建立,就不會將其他 AMS 功能或服務提供給這些帳戶。AWS 不會在企業級進階支援中註冊客戶受管帳戶。您有責任以您選擇的支援費率在 AWS 支援中註冊客戶受管帳戶。
+ **防火牆管理**:
AMS 為支援的防火牆服務提供選用的受管防火牆解決方案,可針對受管環境中的網路啟用網際網路繫結輸出流量篩選。這不包括未使用 AWS 網路基礎設施且其流量直接進入網際網路的公有服務。此解決方案結合了領先業界的防火牆技術與 AMS 基礎設施管理功能,以部署、監控、管理、擴展和還原防火牆基礎設施。
加入 AMS 時,您會收到 AMS 網路基礎設施的完整清單。若要隨時取得執行以支援 AMS 基礎設施的更新服務清單,請提交服務請求,其中包含您想要的資訊的詳細資訊。若要請求變更網路設計,請建立描述您要進行之變更的服務請求,例如新增 VPC 或請求安全群組規則變更。
# 我們做什麼、我們不做什麼
AMS 為您提供了部署 AWS 基礎設施的標準化方法,並提供必要的持續營運管理。如需角色、責任和支援服務的完整描述,請參閱[服務描述](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html)。
**注意**
若要請求 AMS 提供額外的 AWS 服務,請提交服務請求。如需詳細資訊,請參閱[提出服務請求](https://docs.aws.amazon.com/managedservices/latest/userguide/mk-service-requests.html)。
+ **我們做什麼**:
完成加入後,AMS 環境即可接收變更 (RFCs)、事件和服務請求。您與 AMS 服務的互動圍繞應用程式堆疊的生命週期進行。新堆疊是從預先設定的範本清單排序,啟動到特定的虛擬私有雲端 (VPC) 子網路,在操作生命週期內透過請求變更 (RFCs) 進行修改,並全年無休監控事件和事件。
AMS 會監控和維護作用中的應用程式堆疊,包括修補,除非需要變更或停用堆疊,否則堆疊在堆疊生命週期內不需要進一步的動作。AMS 偵測到會影響堆疊運作狀態和功能的事件會產生通知,且可能需要或不需要您的動作來解決或驗證。方法問題和其他查詢可以透過提交服務請求提出。
此外,AMS 可讓您啟用非由 AMS 管理的相容 AWS 服務。如需 AWS-AMS 相容服務的資訊,請參閱[自助式佈建模式](https://docs.aws.amazon.com/managedservices/latest/userguide/setting-up-compatible.html)。
+ **我們不執行的動作**:
雖然 AMS 透過提供許多手動和自動化選項來簡化應用程式部署,但您必須負責應用程式的開發、測試、更新和管理。AMS 為會影響應用程式的基礎設施問題提供故障診斷協助,但 AMS 無法存取或驗證您的應用程式組態。
# AMS 責任矩陣 (RACI)
**注意**
為了及時履行其義務,AWS Managed Services (AMS) 可能需要您輸入以決定適當的行動方案。AMS 會聯絡指定的客戶聯絡人,以取得所有這類釐清和輸入。AMS 預期會在 24 個工作天內回應這類查詢。如果 24 個工作小時內沒有回覆,AMS 可能會代表您選擇動作。
AMS 負責、負責、諮詢和告知或 RACI,矩陣會將主要責任指派給客戶或 AMS 以進行各種活動。
AMS 會管理您的 AWS 基礎設施。下表提供客戶和 AMS 在 AMS 受管環境中執行之應用程式生命週期中活動的責任概觀。
AMS 不負責客戶受管帳戶或在其中執行的基礎設施的任何下列活動;因此,此 RACI 不適用。
+ **R** 代表負責的一方,負責執行工作以達成任務。
+ **C** 代表已諮詢的對象;尋求意見的對象,通常是主題專家;以及與之進行雙邊溝通的對象。
+ **我**代表知情的一方,通常是在任務完成或可交付項目時收到進度通知的一方。
+ **自助式佈建**是指客戶透過 AWS API 或主控台使用自助式佈建的資源,包括開發人員模式和自助式佈建服務。
**注意**
有些區段同時包含 AMS 和客戶的 'R'。這是因為在 AWS 共同責任模型中,AMS 和客戶都擁有共同所有權來回應基礎設施和應用程式問題。
為了提供自助式佈建功能,AMS 已建立具有許可界限的提升 IAM 角色,以限制來自直接 AWS 服務存取的意外變更。角色不會阻止所有變更,而且您有責任遵守內部控制、合規,並驗證使用的所有 AWS 服務是否符合必要的認證。我們將此稱為自助式佈建模式。如需 AWS 合規要求的詳細資訊,請參閱[AWS 合規](https://aws.amazon.com/compliance/)。
對於您透過自助服務佈建的資源,AMS 提供事件管理、偵測控制和防護機制、報告、指定資源 (Cloud Service Delivery Manager 和 Cloud Architect)、安全與存取,以及透過服務請求的技術支援。此外,在適用的情況下,您需為在 AMS 變更管理系統之外佈建或設定的資源承擔持續性管理、修補程式管理、基礎設施監控和變更管理的責任。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/raci-table.html)
8AMS 僅提供 Amazon EC2 AMIs
9AMS 只有在客戶與OSes廠商簽署延長支援協議時,才會負責生命週期結束作業系統
# AMS 環境基本元件
------
#### [ Multi-Account Landing Zone ]
這是核心帳戶中基礎設施元件和潛在成本的預估值。這不包括頻寬、CloudWatch 詳細監控、記錄、警示、Route53、Amazon S3、Simple Notification Service (Amazon SNS)、快照或預留 Amazon EC2 執行個體等其他成本。
您需為 AMS 受管 AWS 登陸區域基礎設施所需的元件付費。預估會將純 AMS 多帳戶登陸區域環境的成本設為每月 2,450 USD,而純應用程式帳戶則為 50 USD。
如需定價的資訊,請參閱 [AWS 定價](https://aws.amazon.com/pricing/)。
**基本環境元件**
| 元件 | 預估 費用 | 描述 |
| --- | --- | --- |
| 管理帳戶 | 60 美元 | AWS Organizations Management 帳戶; 會建立和財務管理成員帳戶。它包含 AWS 登陸區域 (ALZ) 架構、帳戶組態堆疊集和 AWS Organization 服務控制政策 SCPs)。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/basic-components.html) |
| 共用服務帳戶 | 2000 美元 | 包含存取管理 (即 Active Directory)、端點安全管理 (Trend Micro) 和堡壘 (SSH/RDP) 所需的基礎設施和資源;估計每月 2400 美元。此預估不包含 Trend Micro 授權的成本。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/basic-components.html) |
| 網路帳戶 | 350 美元 | AMS 帳戶、內部部署網路和輸出流量之間網路路由的中心中樞。此外, 包含公有 DMZ 堡壘 (AMS 工程師存取 AMS 環境中主機的進入點)。價格可能會根據周遊 Transit Gateway 和 Direct Connect 的流量而提高。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/basic-components.html) |
| 日誌封存帳戶 | 20 美元 | 包含來自每個 AMS 環境帳戶的 AWS CloudTrail 和 AWS Config 日誌檔案副本的 S3 儲存貯體。隨著收集更多日誌,成本會增加。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/basic-components.html) |
| 安全帳戶 | 20 美元 | 安全相關操作的中心中樞,以及將通知和提醒漏接至 AMS 控制平面服務的主要點。此外, 會存放 Amazon Guard Duty 管理帳戶。使用 Amazon GuardDuty 分析更多事件時,成本會增加。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/basic-components.html) |
------
#### [ Single-Account Landing Zone ]
下表列出範例 AMS 受管基礎設施的元件。
**基本環境元件,上次更新日期:2020/07/09**
| 名稱 | 執行個體類型 | 作業系統 | 元件數量 |
| --- | --- | --- | --- |
| mc-eps-dsm | m5.large | Linux | 2 |
| mc-management | m5.large | Windows | 2 |
| mc-bastion-dmz-ssh | m5.large | Linux | 2 |
| mc-bastion-customer-rdp | m5.large | Windows | 2 |
| mc-eps-relay | m5.large | Linux | 2 |
| 目錄服務 | N/A | N/A | |
| 其他元件 | N/A | N/A | |
如需定價的資訊,請參閱 [AWS 定價](https://aws.amazon.com/pricing/)。
------
# AMS 帳戶限制
AMS 多帳戶登陸區域中有三種不同的限制類型:AMS API 限制、AMS 資源限制和 AWS 限制。
AMS 單一帳戶登陸區域中需要考慮兩種不同的限制類型:AMS API 限制和 AWS 限制。
## AMS 帳戶 API 限制
本節說明帳戶層級限制,在此限制之後 AWS Managed Services (AMS) 會調節 AMS SKMS API 服務。這表示,如果您一秒呼叫任何列出的 APIs 超過 10 次,其中一個呼叫是「限流」(您會收到 `ThrottleException`)。在極少數情況下,外部或下游相依性可能會調節 AMS API,然後 AMS 可能會以可能較低的速率調節您的 API 呼叫。
**注意**
如需 AMS SKMS API 的資訊,請透過 AWS Artifact 主控台的報告****索引標籤下載參考。
對於列出的每個 AMS SKMS API,操作會在 10 TPS 後調節 (每秒交易數):
+ `GetStack`
+ `GetSubnet`
+ `GetVpc`
+ `ListAmis`
+ `ListStackSummaries`
+ `ListSubnetSummaries`
+ `ListVpcSummaries`
## AMS 多帳戶登陸區域帳戶資源限制
帳戶資源限制與 AMS 多帳戶登陸區域應用程式帳戶和 VPCs和子網路相關。
### 應用程式帳戶資源限制
每個組織有 50 個應用程式帳戶的軟性限制。如果您有超過 50 個應用程式帳戶的使用案例,請聯絡您的雲端服務交付管理員 (CSDM) 來轉送您的需求。
### VPCs和子網路資源限制
在組織的預先定義 AWS 區域內,每個應用程式帳戶有 10 VPCs 的軟性限制。
每個 VPC 可能有 1 到 10 個私有子網路層,橫跨 2 到 3 個可用區域。此外,每個 VPC 可能有 0 到 5 個公有子網路層,橫跨 2 到 3 個可用區域。如果您有超出這些限制的要求,請通知您的 CSDM 或雲端架構師檢閱您的使用案例。
### AMS 多帳戶登陸區域應用程式與帳戶比率
AMS 多帳戶登陸區域支援每個應用程式一個帳戶;不過,每個應用程式帳戶的成本都很低,而且您每小時需支付 Transit Gateway 的連線數,以及流經 AWS Transit Gateway 的流量。因此,隔離的應用程式越常進入帳戶或 VPCs,成本就越高。
為了降低成本並仍然確保適當的職責劃分,AMS 建議您 1) 依業務流程緊密耦合的團隊將應用程式分組,以及 2) 不混合處於不同階段 (產品與非產品) 或由不同團隊管理的應用程式。如此一來,您將擁有較少的帳戶、存取管理和職責分離會更輕鬆,並且可以降低流量成本。
例如:企業在生產中擁有交易應用程式和產品組合管理應用程式,這兩個應用程式都由投資 IT 團隊管理,並互相交換大量流量。在此案例中,公司可以從將相同帳戶和 VPC 中的兩個應用程式分組中受益,因為投資 IT 團隊不需要請求存取多個應用程式帳戶,而且公司將節省流量成本。在這種情況下,公司應該在開發階段為相同的應用程式建立另一個帳戶,並向開發團隊提供存取權。
在另一個案例中,企業在生產環境中有薪資應用程式和會計應用程式,分別由人力資源 IT 和會計 IT 團隊管理。雖然薪資應用程式必須與會計應用程式交換資訊,但我們建議您隔離不同帳戶中的兩個應用程式,每個團隊一個,並使用網路帳戶在兩個應用程式的 VPCs 之間建立連線。透過這種方式,公司將防止人力資源 IT 團隊請求變更影響會計應用程式基礎設施,而他們對此並不知情。
如何將帳戶分組為組織單位 (OUs秘訣。OU 是一種邏輯分組機制,可讓您分類 (群組) 帳戶,並根據這些群組將政策和組態套用至 。建立 OUs 的建議方法是以需要套用至特定帳戶群組的政策為基礎,而不是以報告結構內團隊的內部階層為基礎。OU 不等同於 Active Directory 的 OU,因此 AWS Organizations 不鼓勵在 中嘗試複寫 AD OU 結構,並導致難以維護和/或操作結構。
## AWS 帳戶限制
AWS 帳戶限制適用於您的 AWS Managed Services (AMS) 帳戶。判斷 AWS 服務預設和目前限制的最簡單方法是利用 [AWS Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)。AMS 建議將個別服務限制的大小調整到適當的大小,以在帳戶中執行服務 (些)。限制就像護欄一樣,可保護您的帳戶的安全和成本失控。如果您想要提高特定限制,請向 AMS 提交服務請求,AMS Operations 會代表您提高限制。例如,RDS 執行個體的預設限制 (或配額) 為 40;如果您的工作負載需要 50 個 RDS 執行個體,請提出 AMS Operations 的服務請求,將限制提高到所需的值。
# AMS 服務水準目標 SLOs)
下表說明 AWS Managed Services (AMS) 服務的目標。當您訂閱 AMS 時,與您共用的 SLA 文件會涵蓋 AMS 服務其他層面的服務水準協議 (SLAs),包括事件管理。如需詳細資訊,請洽詢您的 CSDM。
**AMS 服務層級目標**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/apx-slo.html)
# 支援 AWS 的服務
AWS Managed Services (AMS) 為下列服務提供操作管理支援服務 AWS 。每個 AWS 服務都是不同的,因此 AMS 的操作管理層級,支援會根據基礎 AWS 服務的性質和特性而有所不同。特定 AWS 服務會根據 AMS 提供的操作管理支援服務的複雜性和範圍進行分組。
**注意**
這三個群組 A、B 和 C,根據 2021 年 3 月 16 日之前 AMS 客戶的支援計劃 (Plus 或 Premium),以 AMS 服務每個帳戶每月總花費的百分比表示定價。2021 年 3 月 16 日之後加入的 AMS 客戶應提交服務請求,以取得其他定價資訊。群組 A 表示不收取額外費用。B 群組表示 12% (Plus) 或 18% (Premium) 的額外費用。C 群組表示額外收取 25% (Plus) 或 42% (Premium) 的費用。
星號 (\$1) 表示客戶使用 AWS 主控台和 APIs 在 AMS 受管環境中部署的服務。如需以這種方式佈建和設定服務時客戶責任的其他詳細資訊[AWS Managed Services (AMS) AMS 進階操作計劃功能](features.md),請參閱 中的「自動化和自助式佈建管理」。
兩星 (\$1\$1) 表示 上的 Amazon EC2 AWS Outposts 將以群組 B 服務計費;在 上託管的所有其他資源 AWS Outposts 都會以標準費率計費。
**支援 AWS 的服務**
| 群組 A | 群組 B | 群組 C |
| --- | --- | --- |
| Amazon Alexa for Business*
Amazon Managed Streaming for Apache Kafka*
Amazon CloudFront
Amazon Elastic File System
Amazon Glacier
Amazon Simple Storage Service
AWS Amplify*
AWS AppMesh*
AWS Auto Scaling
AWS Backup
AWS CloudFormation
AWS Compute Optimizer
AWS Global Accelerator*
AWS Identity and Access Management
AWS License Manager*
AWS Management Console
AWS Marketplace
AWS Lake Formation*
AWS Well-Architected Tool*
VM Import/ Export*
| Amazon API Gateway*
Amazon AppStream*
Amazon Athena*
Amazon Bedrock*
Amazon CloudSearch*
Amazon Cognito*
Amazon Comprehend*
Amazon Connect*
Amazon Document DB (with MongoDB compatibility)*
Amazon DynamoDB*
Amazon EC2 Container Registry (ECR)*
Amazon Elastic Container Service (ECS) on AWS Fargate*
Amazon Elastic Kubernetes Service (EKS) on Fargate*
Amazon Elemental MediaConvert*
Amazon Elemental MediaPackage*
Amazon Elemental MediaStore*
Amazon Elemental MediaTailor*
Amazon Elastic MapReduce*
AmazonEventBridge*
Amazon Forecast*
Amazon FSx*
Amazon Inspector*
Amazon Kendra*
Amazon Kinesis Analytics*
Amazon Kinesis Data Stream*
Amazon Kinesis Firehose*
Amazon Kinesis Video Streams*
Amazon Lex*
Amazon Managed Service for Prometheus*
Amazon MQ*
Amazon Personalize**
Amazon Quantum Ledger Database (QLDB)*
Amazon QuickSight*
Amazon Rekognition*
Amazon SageMaker*
Amazon SimpleDB*
Amazon Simple Workflow*
Amazon Textract*
Amazon Transcribe*
Amazon Translate*
Amazon WorkSpaces*
AWS AppSync*
AWS Audit Manager*
AWS Batch*
AWS Certificate Manager*
AWS CloudEndure*
AWS CloudHSM*
AWS CodeBuild*
AWS CodeCommit*
AWS CodeDeploy*
AWS CodePipeline*
AWS DataSync*
AWS Elemental MediaLive*
AWS Glue*
AWS Lambda*
AWS MigrationHub*
AWS Outposts**
AWS Resilience Hub*
AWS Secrets Manager*
AWS Security Hub*
AWS Service Catalog
AWS Service Catalog AppRegistry*
AWS Transfer for SFTP*
AWS Shield*
AWS Snowball*
AWS Step Functions*
AWS Transit Gateway*
AWS WAF*
AWS X-Ray*
| Amazon Aurora
Amazon CloudWatch
Amazon Elastic Block Store (EBS)
Amazon Elastic Compute Cloud**
Amazon Elastic Load Balancing (classic, application, and network; not gateway)
Amazon ElastiCache
Amazon OpenSearch Service
Amazon GuardDuty
Amazon Macie
Amazon Redshift
Amazon Relational Database Service
Amazon Route 53
Amazon Route 53 Resolver DNS Firewall
Amazon Simple Email Service
Amazon Simple Notification Service
Amazon Simple Queue Service
Amazon Virtual Private Cloud (VPC)
AWS CloudTrail
AWS Config
AWS Database Migration Service
AWS Data Transfer
AWS Direct Connect
AWS Directory Service
AWS Key Management Service
AWS Systems Manager (SSM)
|
如果您請求 AWS Managed Services 為以下未明確識別為支援的任何軟體或服務提供服務,則根據服務條款,為此類客戶請求組態提供的任何 AWS Managed Services 都將被視為「Beta 服務」。
# 支援的組態
AWS Managed Services (AMS) 支援的組態如下:
+ 語言:AMS 提供英文版本。
+ 防火牆服務:
+ Amazon Route 53 Resolver DNS 防火牆
+ Palo Alto VM 系列新一代防火牆
+ 安全軟體:Deep Security from Trend Micro (必要)。 AWS Marketplace:[Trend Micro Deep Security](https://aws.amazon.com/marketplace/pp/B01AVYHVHO?ref_=srh_res_product_title)
+ 核准的目錄服務:Microsoft Active Directory (AD)
+ [支援 AWS 的服務](supported-services.md).
+ 支援 AWS 的區域:
AMS 在所有 AWS 區域的子集中運作;不過,AMS API/CLI 只會在「美國東部 (維吉尼亞北部)」區域用盡。如果您執行 AMS 變更管理 API (`amscm`) 或 AMS 服務知識管理 API (`amsskms)`在非美國東部區域,您必須將 `--region us-east-1`新增至 命令。
+ 美國東部 (維吉尼亞)
+ 美國西部 (加利佛尼亞北部)
+ 美國西部 (奧勒岡)
+ 美國東部 (俄亥俄)
+ 加拿大 (中部)
+ 南美洲 (聖保羅)
+ 歐洲 (愛爾蘭)
+ 歐洲 (法蘭克福)
+ 歐洲 (倫敦)
+ 歐洲西部 (巴黎)
+ 亞太地區 (孟買)
+ 亞太區域 (首爾)
+ 亞太區域 (新加坡)
+ 亞太地區 (雪梨)
+ 亞太地區 (東京)
+ Amazon Machine Image AMIs):AMS 針對 AMS 支援的作業系統子集,根據 CIS 第 1 級基準提供安全增強型映像 (AMIs)。若要尋找具有可用安全增強型映像的作業系統,請參閱 *AMS 安全使用者指南*。若要存取本指南,請在 中 AWS Artifact篩選 AWS Managed Services **的報告**索引標籤。若要存取 AWS Artifact,請聯絡您的 CSDM 或參閱 [AWS Artifact 入門](https://aws.amazon.com/artifact/getting-started)。
+ 支援的作業系統:
**支援的作業系統 (x86-64)**
+ Amazon Linux 2023
+ Amazon Linux 2 (**預期的 AMS 支援結束日期為 2026 年 6 月 30** 日)
+ Oracle Linux 9.x、8.x
+ Red Hat Enterprise Linux (RHEL) 9.x、8.x
+ SUSE Linux Enterprise Server 15 SP6
+ 適用於 SAP 15 SP3 和更新版本的 SUSE Linux Enterprise Server
+ Microsoft Windows Server 2025、2022、2019、2016
+ Ubuntu 20.04、22.04、24.04
**支援的作業系統 (ARM64)**
+ Amazon Linux 2023
+ Amazon Linux 2 (**預期的 AMS 支援結束日期為 2026 年 6 月 30** 日)
+ 支援的終止支援 (EOS) 作業系統:
**注意**
終止支援 (EOS) 作業系統在作業系統製造商的一般支援期間之外,且具有更高的安全風險。EOS 作業系統只有在 AMS 所需的代理程式支援作業系統且符合以下條件時,才會視為支援組態:
您已擴充對作業系統廠商的支援,允許您接收更新,或
使用 EOS 作業系統的任何執行個體都遵循進階使用者指南中 AMS 指定的[安全控制](https://docs.aws.amazon.com/managedservices/latest/userguide/key-terms.html#CritRec),或
您遵守 AMS 要求的任何其他補償性安全控制。
如果 AMS 不再支援 EOS 作業系統,AMS 會發出[關鍵建議](https://docs.aws.amazon.com/managedservices/latest/userguide/key-terms.html#CritRec)來升級作業系統。
AMS 所需的代理程式可能包括但不限於:Amazon CloudWatch AWS Systems Manager、端點安全 (EPS) 代理程式和 Active Directory (AD) Bridge (僅限 Linux)。
+ Ubuntu Linux 18.04
+ SUSE Linux Enterprise Server 15 SP3, SP4 和 SP5
+ SUSE Linux Enterprise Server for SAP 15 SP2
+ SUSE Linux Enterprise Server 12 SP5
+ SUSE Linux Enterprise Service for SAP 12 SP5
+ Microsoft Windows Server 2012/2012 R2
# AMS 中不支援作業系統的功能
*不支援的*作業系統是 中未列出的任何作業系統[支援的組態](supported-configs.md)。AMS 會將具有不支援作業系統的執行個體視為「客戶請求組態」,其受到 [AWS Beta 版和預覽版服務條款](https://aws.amazon.com/service-terms/#2._Betas_and_Previews)的約束。
下列有限的 AMS 功能集可供具有不支援作業系統的執行個體使用:
| **功能** | **備註** |
| --- | --- |
| 事件管理 | AMS 提供事件回應。 |
| 服務請求管理 | AMS 會回應服務請求。 |
| 變更請求 (RFCs) | AMS 會評估 RFCs以進行執行。不支援的作業系統可能會影響執行 RFCs的能力。 |
| 監控 | AMS 會監控和回應 Amazon EC2 系統狀態檢查和執行個體狀態檢查。系統狀態檢查包括:網路連線中斷、系統電源中斷、實體主機上的軟體問題,以及實體主機上會影響網路連線能力的硬體問題。 執行個體狀態檢查包括:網路或啟動組態不正確、記憶體耗盡、檔案系統損毀,以及核心不相容。 |
| 安全管理 | AMS 會監控和回應 Amazon EC2 [GuardDuty 調查結果](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html)。 |
| 備份管理 | AMS 使用 [AMS 自訂的計劃和保存庫,在 AMS Advanced for EC2 中提供持續性管理](https://docs.aws.amazon.com/managedservices/latest/userguide/continuity-mgmt.html)。 EC2 AWS Backup |
# AMS 進階介面
+ *AMS 進階主控台*:您可以使用 AMS 進階主控台來建立 RFCs、報告和回應事件、提出服務請求,以及尋找現有 VPCs和堆疊的相關資訊。如果不確定該怎麼做,或當您需要 AMS 或受管資源的協助時,請使用此界面建立服務請求。
+ *AWS 管理主控台*:許多 AWS 主控台對於檢視 AMS 資訊很有用,例如:
+ *Amazon EC2 主控台*:使用 來檢視執行個體資訊,包括堡壘 IP 地址、Amazon EC2 Auto Scaling 群組和負載平衡器。
+ *多帳戶登陸區域 AWS Config 規則合規*:您可以檢視跨帳戶的合規狀態,並識別不合規的資源。
+ *AWS CloudFormation 主控台*:使用 來檢視堆疊資訊,包括堆疊 IDs(您可以在這裡找到 Amazon RDS 堆疊和 Amazon RDS IDs,以及事件資訊)。
+ *Amazon RDS 主控台*:使用 來檢視事件資訊,例如您帳戶中網站上的 WordPress 應用程式文章。請注意,您必須擁有 Amazon RDS 執行個體 ID。
視登入角色的模式而定,您擁有不同層級的 AWS 管理主控台存取權。如需模式的詳細資訊,請參閱 [AMS 模式](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes.html)。
+ *AMS 進階變更管理 API* – 讀取/寫入:使用變更管理 API (CM API) 請求對受管基礎設施的新增和特定變更,包括資源監控、日誌、備份和修補程式組態。此外,使用此 API 請求存取 資源、刪除資源、建立 AMIs 和建立 IAM 執行個體描述檔。您可以透過 AMS CLI 和 SDKs 存取 CM API。
+ *AMS SKMS API* – 唯讀:使用此 API 列出受管資源,並取得報告或準備變更請求所需的資訊。
+ *支援 API*:使用標準 支援 API 以程式設計方式建立和回應事件和服務請求。若要進一步了解,請參閱 [入門 支援](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html)。
+ *AWS APIs* – 唯讀:您的主要 IT 管理員可以使用 AWS APIs 來查看管理的所有資源、檢視 CloudTrail 日誌、帳單資訊,以及許多其他讀取函數。
# AMS VPC 端點
VPC 端點可讓您將 VPC 私下連線至 , AWS 服務 而不需要網際網路閘道。VPC 中的執行個體不需要公有 IP 地址,即可與服務中的資源通訊。
端點是虛擬裝置。端點為一種可水平擴展、備援且高可用性的 VPC 元件,允許 VPC 中之執行個體與服務之間的通訊,而不會強加網路流量的可用性風險或頻寬限制。若要進一步了解,請參閱 [VPC 端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)。
有兩種 VPC 端點類型:介面端點和閘道端點。
+ 閘道端點:帳戶中的 VPC 預設會啟用 Amazon S3 Gateway 端點。
+ 介面端點:AMS 環境中的執行個體可以與支援的 服務通訊,而無需離開 Amazon 網路。這對於**單一帳戶登陸區域**是選用的,而且預設不會在帳戶中啟用;請向 AMS 操作提交服務請求以啟用此功能。不過,對於**多帳戶登陸區域**,介面端點預設會在共用服務帳戶中啟用。
AMS 支援的介面端點清單:
+ AWS CloudFormation
+ AWS CloudTrail
+ AWS Config
+ Amazon EC2 API
+ AWS Key Management Service
+ Amazon CloudWatch
+ Amazon CloudWatch Events
+ Amazon CloudWatch Logs
+ AWS Secrets Manager
+ Amazon SNS
+ AWS Systems Manager
+ AWS Security Token Service
# AMS 受保護的命名空間
AWS Managed Services (AMS) 的受保護命名空間清單。當您使用 AWS 資源時,請勿使用這些命名空間來防止與 AMS 發生衝突。如需其他 AWS 服務命名空間的詳細資訊,請參閱 [ Amazon Resource Name (ARNs和服務 AWS 命名空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#genref-aws-service-namespaces)。
+ `ams-*` (這是新資源的偏好命名標準)
+ `/ams/*` (這是路徑型資源的偏好命名標準)
+ `AWSManagedServices*` (這是適用於 CamelCase 的資源的偏好命名標準)
+ `ams*` 和 `AMS*` 和 `Ams*`
+ `AWS_*` 和 `aws*`
+ `*/aws_reserved/*`
+ `CloudTrail*` 和 `Cloudtrail*`
+ `codedeploy_service_role`
+ `customer-mc-*`
+ `eps` 和 `EPS`
+ `EPSMarketplaceSubscriptionRole`
+ `EPSDB*`
+ `IAMPolicy*`
+ `INGEST*`
+ `LandingZone*`
+ `Managed_Services*`
+ `managementhost`
+ `mc*` 和 `MC*` 和 `Mc*`
+ `MMS*`
+ `ms-`
+ `NewAMS*`
+ `Root*`
+ `sentinel*` 和 `Sentinel*`
+ `sentinel.int.`
+ `StateMachine*`
+ `StackSet-ams*`
+ `StackSet-AWS-Landing-Zone`
+ `TemplateId*`
+ `UnhealthyInServiceBastion`
+ `VPC_*`
# AMS 預留字首
AMS 資源屬性必須符合特定模式;例如,IAM 執行個體設定檔名稱、 BackupVault 名稱、標籤名稱等,不得以 AMS 預留字首開頭。這些預留字首為:
```
*/aws_reserved/*
ams-*
/ams/*
ams*
AMS*
Ams*
aws*
AWS*
AWS_*
AWSManagedServices*
codedeploy_service_role
CloudTrail*
Cloudtrail*
customer-mc-*
eps
EPSDB*
IAMPolicy*
INGEST*
LandingZone*
Managed_Services*
managementhost
mc*
MC*
Mc*
MMS*
ms-
NewAMS*
Root*
sentinel*
Sentinel*
sentinel.int.
StackSet-ams*
StackSet-AWS-Landing-Zone
StateMachine*
TemplateId*
VPC_*
UnhealthyInServiceBastion
```
# AMS 維護時段
AWS Managed Services 維護時段 (或維護時段) 會執行 AWS Managed Services (AMS) 的維護活動,並在每個月的第二個星期四太平洋時間下午 3 點至下午 4 點重複執行。AMS 可能會變更維護時段,但需提前 48 小時通知。這是供 AWS Managed Services (AMS) 使用;用於執行受管基礎設施的維護活動,例如部署新的 AMS AMIs。
*您的*維護時段是 AMS 套用修補的時間,而且您會在加入時判斷維護時段。您也可以同意修補服務通知中提供的建議修補時段,或建議不同的時段。
如需建立維護時段的指引,請參閱[維護時段](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/og-maintenance-window.html)。