Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Direkter Änderungsmodus in AMS **Topics** + [Erste Schritte mit dem Direct Change-Modus](dcm-get-started.md) + [Sicherheit und Compliance](dcm-security-n-compliance.md) + [Änderungsmanagement im Direct Change-Modus](dcm-change-mgmt.md) + [Stapel im Direct Change-Modus erstellen](dcm-creating-stacks.md) + [Anwendungsfälle für den Direct Change Mode](dcm-use-cases.md) Der Direct Change Mode (DCM) von AWS Managed Services (AMS) erweitert das AMS Advanced Change Management um systemeigenen AWS Zugriff auf AMS Advanced Plus- und Premium-Konten zur Bereitstellung und Aktualisierung von AWS Ressourcen. Mit DCM haben Sie die Möglichkeit, native AWS API (Konsole oder CLI/SDK) oder AMS Advanced Change Management Requests for change (RFCs) zu verwenden. In beiden Fällen werden die Ressourcen und Änderungen daran vollständig von AMS unterstützt, einschließlich Überwachung, Patch, Backup und Incident Response Management. Über DCM bereitgestellte Ressourcen werden im AMS Service Knowledge Management System (SKMS) registriert, der von AMS verwalteten Active Directory-Domäne (falls zutreffend) hinzugefügt und führen AMS-Management-Agenten aus. Verwenden Sie vorhandene Tools (z. B. AWS SDK und CDK) CloudFormation, um AMS-verwaltete Stacks zu entwickeln und bereitzustellen. CloudFormation **Anmerkung** Durch den Direct Change-Modus wird das AMS-Änderungsmanagement nicht entfernt. RFCs RFCs Mit DCM haben Sie vollen Zugriff auf AMS. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob) # Erste Schritte mit dem Direct Change-Modus Überprüfen Sie zunächst die Voraussetzungen und reichen Sie dann einen Änderungsantrag (RFC) in Ihrem berechtigten AMS Advanced-Konto ein. 1. Vergewissern Sie sich, dass das Konto, das Sie mit DCM verwenden möchten, die Anforderungen erfüllt: + Das Konto ist AMS Advanced Plus oder Premium. + Für das Konto ist Service Catalog nicht aktiviert. Wir unterstützen derzeit nicht das gleichzeitige Onboarding von Konten für DCM und Service Catalog. Wenn Sie bereits bei Service Catalog angemeldet sind, aber an DCM interessiert sind, besprechen Sie Ihre Anforderungen mit Ihrem Cloud Service Delivery Manager (CSDM). Wenn Sie sich dazu entschließen, von Service Catalog zu DCM, Offboard Service Catalog, zu wechseln, fügen Sie die Anfrage in die unten stehende Änderungsanfrage ein. Einzelheiten zum Service Catalog in AMS finden Sie unter [AMS und Service Catalog](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html). 1. Senden Sie eine Änderungsanforderung (RFC) über die Optionen Verwaltung \$1 Verwaltetes Konto \$1 Direkter Änderungsmodus \$1 Änderungstyp aktivieren (ct-3rd4781c2nnhp). [Ein Beispiel für eine exemplarische Vorgehensweise finden Sie unter Direkter Änderungsmodus \$1 Aktivieren.](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html) Nach der Verarbeitung des CT werden die vordefinierten IAM-Rollen `AWSManagedServicesCloudFormationAdminRole` und `AWSManagedServicesUpdateRole` E im angegebenen Konto bereitgestellt. 1. Weisen Sie den Benutzern, die DCM-Zugriff benötigen, mithilfe Ihres internen Verbundprozesses die entsprechende Rolle zu. **Anmerkung** Sie können eine beliebige Anzahl von SAMLIdentity Anbietern, AWS Diensten und IAM-Entitäten (Rollen, Benutzer usw.) angeben, um die Rollen zu übernehmen. Sie müssen mindestens ein: `SAMLIdentityProviderARNs``IAMEntityARNs`, oder `AWSServicePrincipals` angeben. Weitere Informationen erhalten Sie von der IAM-Abteilung Ihres Unternehmens oder von Ihrem AMS Cloud Architect (CA). ## IAM-Rollen und -Richtlinien im Direktänderungsmodus Wenn der Direct Change-Modus in einem Konto aktiviert ist, werden diese neuen IAM-Entitäten bereitgestellt: `AWSManagedServicesCloudFormationAdminRole`: Diese Rolle gewährt Zugriff auf die CloudFormation Konsole, das Erstellen und Aktualisieren von CloudFormation Stacks, das Anzeigen von Drift-Berichten sowie das Erstellen und Ausführen. CloudFormation ChangeSets Der Zugriff auf diese Rolle wird über Ihren SAML-Anbieter verwaltet. Folgende verwaltete Richtlinien werden bereitgestellt und der Rolle `AWSManagedServicesCloudFormationAdminRole` zugewiesen: + AMS Advanced-Anwendungskonto für mehrere Konten (MALZ) + AWSManagedServices\$1CloudFormationAdminPolicy1 + AWSManagedServices\$1CloudFormationAdminPolicy2 + Diese Richtlinie stellt die Berechtigungen dar, die dem gewährt wurden. `AWSManagedServicesCloudFormationAdminRole` Sie und Ihre Partner verwenden diese Richtlinie, um Zugriff auf eine bestehende Rolle im Konto zu gewähren und dieser Rolle das Starten und Aktualisieren von CloudFormation Stacks im Konto zu ermöglichen. Dies kann zusätzliche Aktualisierungen der AMS Service Control Policy (SCP) erfordern, damit andere IAM-Entitäten Stacks starten können. CloudFormation + AMS Advanced-Landingzone-Konto (SALZ) mit einem Konto + AWSManagedServices\$1CloudFormationAdminPolicy1 + AWSManagedServices\$1CloudFormationAdminPolicy2 + cdk-legacy-mode-s[Inline-Richtlinie] mit 3 Zugriffen + AWS ReadOnlyAccess Richtlinie `AWSManagedServicesUpdateRole`: Diese Rolle gewährt eingeschränkten Zugriff auf nachgelagerte AWS Dienste APIs. Die Rolle wird mit verwalteten Richtlinien bereitgestellt, die mutierende und nicht mutierende API-Operationen bereitstellen, aber im Allgemeinen mutierende Operationen (wieCreate/Delete/PUT) für bestimmte Dienste wie IAM, KMS, VPC, AMS-Infrastrukturressourcen und -konfiguration usw. einschränken. GuardDuty Der Zugriff auf diese Rolle wird über Ihren SAML-Anbieter verwaltet. Folgende verwaltete Richtlinien werden bereitgestellt und der Rolle `AWSManagedServicesUpdateRole` zugewiesen: + AMS Advanced landing zone Anwendungskonto für mehrere Konten + AWSManagedServicesUpdateBasePolicy  + AWSManagedServicesUpdateDenyPolicy  + AWSManagedServicesUpdateDenyProvisioningPolicy  + AWSManagedServicesUpdateEC2Und RDSPolicy  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitik + AMS Advanced-Landingzone-Konto mit einem Konto + AWSManagedServicesUpdateBasePolicy  + AWSManagedServicesUpdateDenyProvisioningPolicy  + AWSManagedServicesUpdateEC2Und RDSPolicy  + AWSManagedServicesUpdateDenyActionsOnAMSInfraRichtlinie 1  + AWSManagedServicesUpdateDenyActionsOnAMSInfraRichtlinie 2 Darüber hinaus ist der `AWSManagedServicesUpdateRole` Rolle „Verwaltete Richtlinie“ auch die AWS verwaltete Richtlinie `ViewOnlyAccess` zugeordnet. # Sicherheit und Compliance Für Sicherheit und Compliance sind AMS Advanced und Sie als unser Kunde gemeinsam verantwortlich. Der AMS Advanced Direct Change-Modus ändert nichts an dieser gemeinsamen Verantwortung. ## Sicherheit im Direct Change-Modus AMS Advanced bietet zusätzlichen Mehrwert mit einer präskriptiven landing zone, einem Change-Management-System und einer Zugriffsverwaltung. Bei Verwendung des Direct Change-Modus ändert sich dieses Verantwortungsmodell nicht. Sie sollten sich jedoch zusätzlicher Risiken bewusst sein. Die Rolle „Update“ im Direktänderungsmodus (siehe[IAM-Rollen und -Richtlinien im Direktänderungsmodus](dcm-get-started.md#dcm-gs-iam-roles-and-policies)) bietet erweiterte Berechtigungen, sodass die Entität, die Zugriff darauf hat, Änderungen an den Infrastrukturressourcen der von AMS unterstützten Dienste in Ihrem Konto vornehmen kann. Bei erhöhten Berechtigungen bestehen je nach Ressource, Service und Aktion unterschiedliche Risiken, insbesondere in Situationen, in denen aufgrund eines Versehens, eines Fehlers oder der mangelnden Einhaltung Ihres internen Prozess- und Kontrollrahmens eine falsche Änderung vorgenommen wird. Gemäß den technischen Standards von AMS wurden die folgenden Risiken identifiziert, und es werden folgende Empfehlungen ausgesprochen. Detaillierte Informationen zu den technischen Standards von AMS finden Sie unter AWS Artifact. Um darauf zuzugreifen AWS Artifact, wenden Sie sich an Ihren CSDM, um Anweisungen zu erhalten, oder gehen Sie zu [Erste Schritte mit AWS Artifact](https://aws.amazon.com/artifact/getting-started). **AMS-STD-001: Taggen** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) **AMS-STD-002: Identity and Access Management (IAM)** | Normen | Geht es kaputt | Risiken | Empfehlungen | | --- | --- | --- | --- | | 4.7 Aktionen, die den Change Management Process (RFC) umgehen, dürfen nicht erlaubt sein, wie z. B. das Starten oder Stoppen einer Instance, das Erstellen von S3-Buckets oder RDS-Instances usw. Konten im Entwicklermodus und Dienste im Self-Service Provisioned Mode (SSPS) sind ausgenommen, solange die Aktionen innerhalb der Grenzen der zugewiesenen Rolle ausgeführt werden. | Ja. Der Zweck von Self-Service-Aktionen ermöglicht es Ihnen, Aktionen unter Umgehung des AMS-RFC-Systems durchzuführen. | Das Modell des sicheren Zugriffs ist ein zentraler technischer Aspekt von AMS, und ein IAM-Benutzer für Konsolen- oder programmatischen Zugriff umgeht diese Zugriffskontrolle. Der Zugriff der IAM-Benutzer wird nicht vom AMS Change Management überwacht. Der Zugriff ist CloudTrail nur angemeldet. | Der IAM-Benutzer sollte zeitlich begrenzt sein und ihm sollten Berechtigungen auf der Grundlage der geringsten Rechte und erteilt werden. need-to-know | **AMS-STD-003: Netzwerksicherheit** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) **AMS-STD-007: Protokollierung** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) Arbeiten Sie mit Ihrem internen Autorisierungs- und Authentifizierungsteam zusammen, um die Berechtigungen für die Rollen im Direct Change-Modus entsprechend zu kontrollieren. ## Einhaltung der Vorschriften im Modus „Direkter Wandel“ Der Direct Change-Modus ist sowohl mit produktiven als auch mit produktionsfremden Workloads kompatibel. Es liegt in Ihrer Verantwortung, die Einhaltung aller Compliance-Standards (z. B. PHI, HIPAA, PCI) sicherzustellen und sicherzustellen, dass die Verwendung des Direct Change-Modus Ihren internen Kontrollrahmen und Standards entspricht. # Änderungsmanagement im Direct Change-Modus Das Änderungsmanagement ist der Prozess, den AMS Advanced verwendet, um Änderungsanträge zu implementieren. Eine Änderungsanforderung (RFC) ist eine Anfrage, die entweder von Ihnen oder AMS Advanced über die AMS Advanced-Schnittstelle erstellt wird, um eine Änderung an Ihrer verwalteten Umgebung vorzunehmen. Sie enthält eine AMS Advanced-Änderungstyp-ID (CT) für einen bestimmten Vorgang. Weitere Informationen finden Sie unter [Change Management](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-what-is.html). **Anmerkung** Durch den Direct Change-Modus wird das AMS-Änderungsmanagement RFCs nicht entfernt. RFCs Mit DCM haben Sie weiterhin vollen Zugriff auf AMS. Der AMS Direct Change-Modus (DCM) erweitert das AMS Advanced Change Management, indem er systemeigenen AWS Zugriff auf AMS Advanced Plus- und Premium-Konten ermöglicht, um Ressourcen bereitzustellen und zu aktualisieren AWS . Benutzer, denen über die IAM-Rollen die Berechtigung zum Direct Change-Modus erteilt wurde, können den systemeigenen AWS API-Zugriff verwenden, um Ressourcen in ihren AMS Advanced-Konten bereitzustellen und zu ändern. Die Benutzer können AMS Advanced Change Management weiterhin RFCs mit denselben IAM-Rollen verwenden. In beiden Fällen werden die Ressourcen und deren Änderungen vollständig von AMS unterstützt, einschließlich Überwachung, Patch, Backup und Incident Response Management. Benutzer, die nicht über die entsprechende Rolle in diesen Konten verfügen, müssen den RFC-Prozess AMS Advanced Change Management verwenden, um Änderungen vorzunehmen. ## Anwendungsfälle des Change-Managements Aus Sicherheitsgründen können einige Änderungen in AMS Advanced nur über den RFC-Prozess (Change Management Request for Change) vorgenommen werden. Der `AWSManagedServicesCloudFormationAdminRole` ist auf Aktionen beschränkt, die durch CloudFormation (CFN) ergriffen wurden. Weitere Informationen zum Erstellen von Stacks mit DCM finden Sie unter [Erstellen von Stacks im Direct Change-Modus](https://docs.aws.amazon.com/managedservices/latest/userguide/dcm-creating-stacks.html). Der `AWSManagedServicesUpdateRole` ist auf die folgenden Aktionen beschränkt. [Exemplarische Vorgehensweisen für jeden Änderungstyp, einschließlich des Änderungstyps Verwaltung \$1 Verwaltetes Konto \$1 Direkter Änderungsmodus \$1 Aktivieren (ct-3rd4781c2nnhp), finden Sie im Abschnitt „Zusätzliche Informationen“ für den entsprechenden Änderungstyp im Abschnitt *AMS* Advanced Change Type Reference — Änderungstypen nach Klassifizierung.](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/dcm-change-mgmt.html) # Stapel im Direct Change-Modus erstellen Beim Starten von Stacks CloudFormation mit dem müssen zwei Voraussetzungen erfüllt sein`AWSManagedServicesCloudFormationAdminRole`, damit der Stack von AMS verwaltet werden kann: + Die Vorlage muss eine `AmsStackTransform` enthalten. + Der Stackname muss mit dem Präfix beginnen, `stack-` gefolgt von einer 17-stelligen alphanumerischen Zeichenfolge. **Anmerkung** Um den erfolgreich verwenden zu können`AmsStackTransform`, müssen Sie bestätigen, dass Ihre Stack-Vorlage die `CAPABILITY_AUTO_EXPAND` Fähigkeit enthält, mit der CloudFormation (CFN) den Stack erstellen oder aktualisieren kann. Sie tun dies, indem Sie das `CAPABILITY_AUTO_EXPAND` als Teil Ihrer Create-Stack-Anfrage übergeben. CFN lehnt die Anfrage ab, wenn diese Funktion nicht bestätigt wird, wenn sie in der Vorlage enthalten `AmsStackTransform` ist. Die CFN-Konsole stellt sicher, dass Sie diese Funktion übergeben, wenn Sie die Transformation in Ihrer Vorlage haben. Dies kann jedoch übersehen werden, wenn Sie über deren Funktion mit CFN interagieren. APIs Sie müssen diese Funktion immer dann weitergeben, wenn Sie die folgenden CFN-API-Aufrufe verwenden: [CreateChangeSet](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateChangeSet.html) [ CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html#API_CreateStack_RequestParameters) [UpdateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStack.html) Beim Erstellen oder Aktualisieren eines Stacks mit DCM werden dieselben Validierungen und Erweiterungen von CFN Ingest und Stack Update CTs auf dem Stack durchgeführt. Weitere Informationen finden Sie unter [CloudFormation Ingest-Richtlinien](https://docs.aws.amazon.com/managedservices/latest/appguide/cfn-author-templates.html), bewährte Methoden und Einschränkungen. Die Ausnahme besteht darin, dass die AMS-Standardsicherheitsgruppen (SGs) nicht an eigenständige EC2 Instances oder EC2 Instances in Auto Scaling Scaling-Gruppen (ASGs) angehängt werden. Wenn Sie Ihre CloudFormation Vorlage mit eigenständigen EC2 Instances oder erstellen ASGs, können Sie die Standardinstanz anhängen. SGs **Anmerkung** IAM-Rollen können jetzt mit dem erstellt und verwaltet werden. `AWSManagedServicesCloudFormationAdminRole` Die AMS-Standardeinstellungen SGs verfügen über Eingangs- und Ausgangsregeln, die es ermöglichen, dass die Instances erfolgreich gestartet werden und dass AMS-Operationen und Sie später über SSH oder RDP darauf zugreifen können. Wenn Sie der Meinung sind, dass die AMS-Standardsicherheitsgruppen zu freizügig sind, können Sie Ihre eigenen Regeln SGs mit restriktiveren Regeln erstellen und diese an Ihre Instance anhängen, sofern Sie und AMS-Operationen dadurch weiterhin bei Vorfällen auf die Instance zugreifen können. Die AMS-Standardsicherheitsgruppen sind die folgenden: + SentinelDefaultSecurityGroupPrivateOnly: Kann in der CFN-Vorlage über diesen SSM-Parameter aufgerufen werden `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnly` + SentinelDefaultSecurityGroupPrivateOnlyEgressAll: Kann in der CFN-Vorlage über diesen SSM-Parameter aufgerufen werden `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnlyEgressAll` ## AMS-Transformation Fügen Sie Ihrer CloudFormation Vorlage eine `Transform` Erklärung hinzu. Dadurch wird ein CloudFormation Makro hinzugefügt, das den Stack beim Start validiert und bei AMS registriert. **JSON-Beispiel** ``` "Transform": {     "Name": "AmsStackTransform",     "Parameters": {       "StackId": {"Ref" : "AWS::StackId"}     }   } ``` **YAML-Beispiel** ``` Transform: Name: AmsStackTransform Parameters: StackId: !Ref 'AWS::StackId' ``` Fügen Sie die `Transform` Anweisung auch hinzu, wenn Sie die Vorlage eines vorhandenen Stacks aktualisieren. **JSON-Beispiel** ``` {   "AWSTemplateFormatVersion": "2010-09-09",   "Description" : "Create an SNS Topic",    "Transform": { "Name": "AmsStackTransform", "Parameters": { "StackId": {"Ref" : "AWS::StackId"} } },   "Parameters": {     "TopicName": {       "Type": "String",       "Default": "HelloWorldTopic"     }   },   "Resources": {     "SnsTopic": {       "Type": "AWS::SNS::Topic",       "Properties": {         "TopicName": {"Ref": "TopicName"}       }     }   } } ``` **YAML-Beispiel** ``` AWSTemplateFormatVersion: '2010-09-09' Description: Create an SNS Topic Transform: Name: AmsStackTransform Parameters: StackId: !Ref 'AWS::StackId' Parameters: TopicName: Type: String Default: HelloWorldTopic Resources: SnsTopic: Type: AWS::SNS::Topic Properties: TopicName: !Ref TopicName ``` ## Stack name Der Stackname muss mit dem Präfix beginnen, `stack-` gefolgt von einer 17-stelligen alphanumerischen Zeichenfolge. Dies dient der Aufrechterhaltung der Kompatibilität mit anderen AMS-Systemen, die auf dem AMS-Stack IDs arbeiten.  Im Folgenden finden Sie Beispiele für Möglichkeiten, einen kompatiblen Stack zu generieren IDs: Bash: ``` echo "stack-$(env LC_CTYPE=C tr -dc 'a-z0-9' < /dev/urandom | head -c 17)" ``` Python: ``` import string import random 'stack-' + ''.join(random.choices(string.ascii_lowercase + string.digits, k=17)) ``` Powershell: ``` "stack-" + ( -join ((0x30..0x39) + ( 0x61..0x7A) | Get-Random -Count 17 | % {[char]$_}) ) ``` # Anwendungsfälle für den Direct Change Mode Im Folgenden sind Anwendungsfälle für den Direct Change Mode aufgeführt: **Bereitstellung und Verwaltung von Ressourcen durch CloudFormation** + Integrieren CloudFormation Sie bestehende Tools und Prozesse. **Kontinuierliches Ressourcenmanagement und Updates** + Kleine atomare Veränderungen mit geringem Risiko. + Änderungen, die sonst über einen manuellen oder automatisierten RFC laufen würden. + Tools, für die systemeigener AWS API-Zugriff erforderlich ist. + Die DCM-Rolle kann verwendet werden, wenn Sie sich in der Migrationsphase befinden. Migrationsteams nutzen die Berechtigungen auf dem DCM, um Stacks zu erstellen oder zu ändern. + DCM-Rollen können in der CI/CD Pipeline verwendet werden, um neue Aufgaben zu erstellen AMIs, Amazon ECS-Aufgaben zu erstellen usw.