跳至主要内容

AMS Advanced 功能

AMS Advanced 为支持的 AWS 服务提供以下功能:

日志记录、监控、护栏和事件管理

AMS Advanced 会配置和监控托管环境以进行日志记录活动,并根据各种运行状况检查定义警报。AMS 会针对适用的 AWS 服务调查这些警报,而对这些服务的使用情况产生负面影响的警报会导致事件创建。AMS Advanced 旨在聚合并存储 CloudWatch、CloudTrail 中所有操作生成的所有日志以及 S3 中的系统日志。根据请求,您可以要求设置更多警报。除了 AMS 的预防性控制措施外,AMS Advanced 还部署了配置护栏和检测性控制措施,旨在持续为您提供保护,防止因错误配置而降低托管账户的运营与安全完整性,进而强制执行标记和合规性等控制措施。当检测到受监控的控制措施时会生成警报,该警报会根据预定义的、可由您修改的 AMS 默认设置,通知、修改或终止资源。 

连续性管理(备份和还原)

AMS Advanced 按确定的计划间隔提供资源备份。AMS Advanced 可根据 RFC 从特定快照执行还原操作。快照间隔期间所产生的数据变更,则需自行负责备份。您可以提交 RFC,请求在计划间隔之外进行备份或创建快照。如果 AWS 区域中的某个可用区(AZ)不可用,在获得您许可的情况下,AMS Advanced 旨在基于模板和受影响堆栈的可用 EBS 快照重新创建新堆栈,从而还原托管环境。

安全与访问管理

AMS Advanced 提供安全管理服务,例如配置防病毒和反恶意软件保护。AMS Advanced 还会配置您在加载期间批准的默认 AWS 安全功能,以监控安全问题并做出响应。您可以通过您提供的经批准的目录服务管理用户。 

AMS Advanced 包含对端点安全(EPS)的管理。安全组根据每个堆栈模板进行定义,并在启动时根据应用程序(公有/私有)安全组的可见性进行修改。 

可通过变更管理变更请求(RFC),请求访问系统。访问管理提供对不同资源的访问权限,例如 Amazon EC2 实例、AWS 管理控制台和 API。在加载期间与 AMS Microsoft Active Directory 部署建立单向信任并联合到 AWS 后,即可使用现有的企业凭证进行所有交互。  

补丁管理

AMS Advanced 旨在为支持的操作系统(OS)及其预装软件,应用和安装 EC2 实例更新。 

 

AMS Advanced 会管理两种补丁模型:

  • AMS 标准补丁(适用于基于账户的传统补丁),以及 
  • AMS Patch Orchestrator(适用于基于标签的补丁)。

 

在 AMS 标准补丁中,由您选择月度维护时段,以便 AMS 执行大多数修补活动。AMS Advanced 会在所选维护时段之外应用关键安全更新(并向客户发出相应通知),并在所选维护时段内应用重要更新。此外,AMS Advanced 还会在所选维护时段内对基础设施管理工具应用更新。AMS Advanced 会提前通知您即将发布的更新详细信息。您可以根据需要将堆栈排除在补丁管理之外或拒绝更新。 而在 AMS Patch Orchestrator 中,由您定义每个账户的默认维护时段,以便 AMS 执行补丁活动。您可以为 AMS 安排额外的自定义维护时段,以便 AMS 修补由您使用标签定义的一组特定实例。AMS Advanced 会应用所有可用更新,但您可以通过创建自定义补丁基准来筛选或拒绝更新。对于这两种模型,如果您批准或拒绝了补丁管理下提供的更新,但后来又改变了主意,那么您需负责通过 RFC 启动更新。AMS Advanced 会跟踪资源的补丁状态,并在月度业务审核中重点标注未更新到最新状态的系统。补丁管理仅限于托管环境中的堆栈,包括所有 AMS 托管应用程序以及具有补丁功能的受支持 AWS 服务(例如 RDS)。为了在发布更新时支持所有类型的基础设施配置,AMS a) 会更新 EC2 实例,并且 b) 提供更新的 AMS AMI 供您使用。您需负责安装、配置、修补和监控上述未明确涵盖的任何其他应用程序。 

变更管理

AMS Advanced 提供变更管理,这是您获取对托管环境的访问权限或对其进行任何变更所需遵循的机制。您可以通过 AMS Advanced 界面创建变更请求(RFC)。AMS Advanced 会根据需要创建 RFC 以访问资源或进行变更。所有 RFC 均遵循定义的变更管理流程。对托管生产环境中资源的访问必须通过 RFC 进行授权,而对托管非生产环境中资源的访问同样需通过 RFC 授权,但也可根据请求,通过专门的客户开发人员 IAM 角色(“开发人员模式”)进行。对于可借助 AWS 服务功能执行的 RFC,AMS 会予以批准和执行。您可以为所请求的变更指定开始时间,并通过 RFC 流程来执行。您还可以借助变更管理在托管环境中配置 AWS 服务产品。 

对 AMS Advanced 资源执行的所有操作均由 AMS 变更管理服务进行协调,并记录在 AWS CloudTrail 中,后者会记录 API 调用。AMS 系统会管理变更请求(RFC)、安排日程以防止活动重叠,以及批准变更。RFC 会进行分类,其中已知风险或影响较低者将由自动化脚本运行。 

在多账户登录区环境中,变更管理的严格程度可能因所使用的 AMS 模式(这些模式不适用于 AMS 单账户登录区环境)而异。 有关更多信息,请参阅“AMS 模式”。 

 

  • AMS 托管 – 标准模式
  • AMS 托管 – 自助服务预置(SSP)模式
  • AMS 托管 – 开发人员模式
  • AMS 客户管理模式  

自动化和自助服务预置管理

您可以通过以下几种方式在 AMS Advanced 上预置 AWS 资源:

 

  • 提交预置和配置变更类型
  • 部署 AMS 提供的安全强化 AMI(包含应用程序) 
  • 使用 CloudFormation 模板部署完整堆栈
  • 通过集成的 IT 服务管理(ITSM)进行部署 
  • 通过 AWS Service Catalog 进行部署 
  • 对于选定的 AWS 服务,可以使用自助服务预置功能直接进行配置(请参阅“支持的 AWS 服务”)。 

 

为了提供自助服务预置功能,AMS Advanced 创建了具有权限边界的高权限 IAM 角色,以限制直接访问 AWS 服务可能导致的意外变更。这些角色并不能阻止所有变更,您有责任遵守内部控制和合规性要求,并验证所有正在使用的 AWS 服务是否符合所需的认证。我们将此称为自助服务预置模式。 

 

对于通过自助服务预置的资源,AMS Advanced 旨在提供事件管理、检测性控制措施和护栏、报告、指定资源(云服务交付经理和云架构师)、安全与访问以及通过服务请求提供的技术支持。此外,在适用的情况下,您需负责对在 AMS Advanced 变更管理系统之外预置或配置的资源进行连续性管理、补丁管理、基础设施监控以及变更管理。 

事件管理

AMS Advanced 会通知您 AMS 检测到的事件。AMS 会对客户提交的事件和 AMS 生成的事件做出响应,并根据事件优先级解决事件。除非您另有指示,否则 AMS 会主动处理其判定对托管环境安全构成风险的事件,以及与 AMS 及其他 AWS 服务可用性有关的事件。AMS Advanced 会在得到您的授权后,对所有其他事件采取相应措施。重复出现的事件将由问题管理流程处理。

问题管理

AMS Advanced 旨在进行趋势分析,以识别和调查问题并确定根本原因。而后,通过临时变通方案或永久性解决方案来解决问题,以防将来再次出现类似的服务影响。任何“高优先级”事件解决之后,都可以请求提供事后报告(PIR)。PIR 记录了根本原因和所采取的预防措施,包括预防措施的实施情况。  

报告

AMS Advanced 旨在向您提供月度服务报告,该报告汇总了 AMS 的关键性能指标,包括执行摘要和见解、运营指标、托管资源、AMS Advanced 服务级别协议(SLA)遵守情况以及有关支出、节省和成本优化的财务指标。报告由分配给您的 AMS Advanced 云服务交付经理(CSDM)提供。 

服务请求管理

您可以通过 AMS 界面提交服务请求,请求获取有关托管环境、AMS Advanced 或 AWS 服务产品的信息。服务请求类型还包括有关 AWS 服务和功能的“具体使用方法”问题、API 问题排查以及技术支持案例。

服务台

AMS 的工程运营人员由全职 Amazon 员工担任,以处理非自动化请求,包括事件管理、服务请求管理和变更管理。服务台全年全天无休运营。  

指定资源

每位客户都会分配一名云服务交付经理(CSDM)和一名云架构师(CA)。 

  • 客户可以直接联系 CSDM。他们会在实施、迁移和运营生命周期的各个阶段进行服务审核,并提供报告和见解。CSDM 还会进行月度业务审核,并详细分析各项内容,例如财务支出、成本节省建议、服务利用率和风险报告。他们会深入研究运营绩效统计数据,并就可改进的方面提出建议。 
  • 此外,客户还可以直接联系 CA,他们会提供技术专业知识,帮助其更好地使用 AWS 云。CA 活动示例包括,选择要迁移的工作负载,协助加载更多账户和工作负载,在比赛日、灾难恢复测试和问题管理等运营活动中担任技术主管,以及提供技术建议,以充分利用 AMS 和 AWS。CA 可推动组织各级开展技术讨论,并协助进行事件管理、权衡利弊、建立最佳实践和降低技术风险。 

开发人员模式

此功能不仅支持访问 AMS 变更管理流程,还支持直接访问 AWS 服务 API 和 AWS 管理控制台,从而使您能够在有效的时间范围内,在 AMS 配置的账户 [1] 内迭代基础设施设计和部署。对于在变更管理流程之外使用开发人员模式权限预置或配置的资源,由您负责管理(请参阅“自动化和自助服务预置管理”)。与 AMS 上其他通过变更管理流程预置的工作负载一样,通过 AMS 变更管理流程预置的资源均将受到支持。

Operations on Demand

Operations on Demand(OOD)是一项 AMS 功能,通过提供 AMS 运营计划或 AWS 本身尚未提供的运营服务,来扩展 AMS 运营计划的标准范围。  选定后,目录服务将通过自动化和高技能的 AMS 资源组合提供。无需长期承诺或额外合同,您可以根据需要扩展现有的 AMS 和 AWS 运营及功能。您需同意按月购买时间段(OOD 时间段),每个时间段包含 20 小时。
 
您可以从标准化服务目录中进行选择,并通过服务请求启动新的 OOD 项目。OOD 服务示例包括协助维护 Amazon EKS、运营 AWS Control Tower 以及管理 SAP 集群。我们会根据需求和最常见的运营使用案例,定期添加新的目录服务。
 
OOD 适用于 AMS Advanced 运营计划,并在所有提供 AMS 的 AWS 区域可用。

其他信息

有关服务控制、安全特征和功能的更多信息,包括有关存储、检索、修改、限制和删除数据的信息(如适用),请参阅 https://docs.aws.amazon.com/index.html。对于 http://aws.amazon.com/agreement 上的《AWS 客户协议》或者您与 AWS 之间签订的用于管理您使用 AWS 服务的其他协议而言,这些其他信息并不构成此文档的一部分。