Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Modo de cambio directo en AMS **Topics** + [Cómo empezar con el modo Direct Change](dcm-get-started.md) + [Seguridad y conformidad](dcm-security-n-compliance.md) + [Gestión de cambios en el modo Direct Change](dcm-change-mgmt.md) + [Creación de pilas mediante el modo de cambio directo](dcm-creating-stacks.md) + [Casos de uso del modo de cambio directo](dcm-use-cases.md) El modo Direct Change (DCM) de AWS Managed Services (AMS) amplía la administración avanzada de cambios de AMS al proporcionar AWS acceso nativo a las cuentas AMS Advanced Plus y Premium para aprovisionar y actualizar AWS los recursos. Con DCM, tiene la opción de utilizar la AWS API nativa (consola o CLI/SDK) o las solicitudes de cambio de AMS Advanced Change Management (RFCs) y, en cualquier caso, AMS admite plenamente los recursos y los cambios en ellos, incluidos la supervisión, los parches, las copias de seguridad y la gestión de la respuesta a incidentes. Los recursos aprovisionados a través de DCM se registran en el sistema de gestión del conocimiento del servicio AMS (SKMS), se unen al dominio de Active Directory administrado por AMS (cuando corresponde) y ejecutan los agentes de administración de AMS. Utilice las herramientas existentes (por ejemplo CloudFormation, el AWS SDK y el CDK) para desarrollar e implementar pilas administradas por AMS. CloudFormation **nota** El modo Direct Change no elimina la administración de cambios de AMS. RFCs RFCs Con DCM, tiene acceso completo a AMS. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob) # Cómo empezar con el modo Direct Change Comience por comprobar los requisitos previos y, a continuación, envíe una solicitud de cambio (RFC) en su cuenta de AMS Advanced que cumpla los requisitos. 1. Confirme que la cuenta que quiere usar con DCM cumpla los requisitos: + La cuenta es AMS Advanced Plus o Premium. + La cuenta no tiene activado Service Catalog. Actualmente, no admitimos la incorporación de cuentas a DCM y a Service Catalog al mismo tiempo. Si ya está incorporado a Service Catalog pero está interesado en DCM, hable de sus necesidades con su administrador de prestación de servicios en la nube (CSDM). Si decide cambiar de Service Catalog a DCM, fuera de Service Catalog, para ello, incluya la solicitud de cambio en la solicitud de cambio que aparece a continuación. Para obtener más información sobre el catálogo de servicios en AMS, consulte [AMS y Service Catalog](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html). 1. Envíe una solicitud de cambio (RFC) mediante el modo Administración \$1 Cuenta gestionada \$1 Cambio directo \$1 Habilitar el tipo de cambio (ct-3rd4781c2nnhp). [Para ver un ejemplo de tutorial, consulte Modo de cambio directo \$1 Activar.](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html) Una vez procesado el CT, las funciones de IAM predefinidas `AWSManagedServicesUpdateRole` se aprovisionan en la cuenta especificada. `AWSManagedServicesCloudFormationAdminRole` 1. Asigne la función adecuada a los usuarios que requieren acceso a DCM mediante su proceso de federación interno. **nota** Puede especificar cualquier número de SAMLIdentity proveedores, AWS servicios y entidades de IAM (funciones, usuarios, etc.) para que asuman las funciones. Debe proporcionar al menos uno: `SAMLIdentityProviderARNs``IAMEntityARNs`, o`AWSServicePrincipals`. Para obtener más información, consulte con el departamento de IAM de su empresa o con su arquitecto de nube (CA) de AMS. ## Funciones y políticas de IAM del modo Direct Change Cuando el modo Direct Change está habilitado en una cuenta, se implementan estas nuevas entidades de IAM: `AWSManagedServicesCloudFormationAdminRole`: Esta función permite acceder a la CloudFormation consola, crear y actualizar CloudFormation pilas, ver los informes de desviaciones y crear y ejecutar. CloudFormation ChangeSets El acceso a este rol se administra a través de su proveedor de SAML. Las políticas administradas que se implementan y se asocian a la función `AWSManagedServicesCloudFormationAdminRole` son: + Cuenta de aplicación AMS Advanced multi-account landing zone (MALZ) + AWSManagedServices\$1CloudFormationAdminPolicy1 + AWSManagedServices\$1CloudFormationAdminPolicy2. + Esta política representa los permisos otorgados a. `AWSManagedServicesCloudFormationAdminRole` Tú y tus socios usáis esta política para conceder acceso a un rol existente en la cuenta y permitir que ese rol lance y actualice CloudFormation pilas en la cuenta. Esto puede requerir actualizaciones adicionales de la política de control de servicios (SCP) de AMS para permitir que otras entidades de IAM lancen pilas. CloudFormation + Cuenta AMS Advanced Single-Account Landing Zone (SALZ) + AWSManagedServices\$1CloudFormationAdminPolicy1 + AWSManagedServices\$1CloudFormationAdminPolicy2. + cdk-legacy-mode-s3 accesos [política en línea] + AWS ReadOnlyAccess política `AWSManagedServicesUpdateRole`: Esta función otorga acceso restringido al AWS servicio APIs descendente. La función se implementa con políticas administradas que proporcionan operaciones de API mutantes y no mutantes, pero en general restringen las operaciones mutantes (por ejemploCreate/Delete/PUT) a ciertos servicios, como IAM, KMS, GuardDuty VPC, AMS, recursos y configuración de infraestructura, etc. El acceso a este rol se administra a través del proveedor de SAML. Las políticas administradas que se implementan y se asocian a la función `AWSManagedServicesUpdateRole` son: + Cuenta de aplicación AMS Advanced multicuenta para zonas de landing zone + AWSManagedServicesUpdateBasePolicy  + AWSManagedServicesUpdateDenyPolicy  + AWSManagedServicesUpdateDenyProvisioningPolicy  + AWSManagedServicesUpdateEC2Y RDSPolicy  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolítica + Cuenta AMS Advanced de una sola cuenta en la zona de landing zone + AWSManagedServicesUpdateBasePolicy  + AWSManagedServicesUpdateDenyProvisioningPolicy  + AWSManagedServicesUpdateEC2Y RDSPolicy  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolítica 1  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolítica 2 Además, la `AWSManagedServicesUpdateRole` función de política administrada también tiene `ViewOnlyAccess` asociada la política AWS administrada. # Seguridad y conformidad La seguridad y el cumplimiento son una responsabilidad compartida entre AMS Advanced y usted, como cliente nuestro. El modo AMS Advanced Direct Change no modifica esta responsabilidad compartida. ## Seguridad en el modo Direct Change AMS Advanced ofrece un valor adicional con una landing zone prescriptiva, un sistema de gestión de cambios y una gestión de acceso. Cuando se utiliza el modo Direct Change, este modelo de responsabilidad no cambia. Sin embargo, debe tener en cuenta los riesgos adicionales. La función de «actualización» del modo Direct Change Mode (consulte[Funciones y políticas de IAM del modo Direct Change](dcm-get-started.md#dcm-gs-iam-roles-and-policies)) proporciona permisos elevados que permiten a la entidad con acceso a ella realizar cambios en los recursos de infraestructura de los servicios compatibles con AMS de su cuenta. Con el aumento de los permisos, existen diversos riesgos en función del recurso, el servicio y las acciones, especialmente en situaciones en las que se realiza un cambio incorrecto debido a un descuido, un error o una falta de cumplimiento del marco interno de procesos y control. Según las normas técnicas de la AMS, se han identificado los siguientes riesgos y se formulan las siguientes recomendaciones. La información detallada sobre las normas técnicas de AMS está disponible en AWS Artifact. Para acceder AWS Artifact, póngase en contacto con su CSDM para obtener instrucciones o vaya a [Primeros pasos](https://aws.amazon.com/artifact/getting-started) con. AWS Artifact **AMS-STD-001: Etiquetado** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) **AMS-STD-002: Identity and Access Management (IAM) MexiAM)** | Estándares | ¿Se rompe | Riesgos | Recomendaciones | | --- | --- | --- | --- | | 4.7 No se deben permitir acciones que eludan el proceso de administración de cambios (RFC), como iniciar o detener una instancia, crear buckets de S3 o instancias de RDS, etc. Las cuentas en modo desarrollador y los servicios en modo aprovisionado de autoservicio (SSPS) están exentos siempre que las acciones se realicen dentro de los límites de la función asignada. | Sí. El objetivo de las acciones de autoservicio es permitir realizar acciones sin tener en cuenta el sistema RFC de AMS. | El modelo de acceso seguro es una faceta técnica fundamental de AMS, y un usuario de IAM para el acceso programático o mediante consola elude este control de acceso. El sistema de gestión de cambios de AMS no supervisa el acceso de los usuarios de IAM. CloudTrail Solo se inicia sesión en el acceso. | El usuario de IAM debe tener un límite de tiempo y concederse los permisos en función del mínimo privilegio y. need-to-know | **AMS-STD-003: Seguridad de red** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) **AMS-STD-007: Registro** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) Trabaje con su equipo interno de autorización y autenticación para controlar en consecuencia los permisos de las funciones del modo Direct Change. ## Cumplimiento en el modo Direct Change El modo Direct Change es compatible con cargas de trabajo tanto de producción como de no producción. Es su responsabilidad garantizar el cumplimiento de cualquier norma de conformidad (por ejemplo, PHI, HIPAA o PCI) y asegurarse de que el uso del modo Direct Change cumpla con sus marcos y estándares de control interno. # Gestión de cambios en el modo Direct Change La gestión de cambios es el proceso que AMS Advanced utiliza para implementar las solicitudes de cambio. Una solicitud de cambio (RFC) es una solicitud creada por usted o por AMS Advanced a través de la interfaz de AMS Advanced para realizar un cambio en su entorno gestionado e incluye un identificador de cambio de tipo (CT) de AMS Advanced para una operación concreta. Para obtener más información, consulte [Gestión de cambios](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-what-is.html). **nota** El modo Direct Change no elimina la administración de cambios de AMS RFCs, pero aún tiene acceso total a AMS RFCs con DCM. El modo AMS Direct Change (DCM) amplía la gestión de cambios de AMS Advanced al proporcionar AWS acceso nativo a las cuentas AMS Advanced Plus y Premium para aprovisionar y actualizar AWS los recursos. Los usuarios a los que se les haya concedido el permiso del modo Direct Change a través de las funciones de IAM pueden utilizar el acceso a la AWS API nativa para aprovisionar y realizar cambios en los recursos de sus cuentas de AMS Advanced. Los usuarios pueden seguir RFCs utilizando la gestión de cambios avanzada de AMS con las mismas funciones de IAM. En ambos casos, AMS apoya plenamente los recursos y los cambios que se realicen en ellos, lo que incluye la supervisión, los parches, las copias de seguridad y la gestión de la respuesta a los incidentes. Los usuarios que no tengan la función adecuada en estas cuentas deben utilizar el proceso RFC de gestión avanzada de cambios de AMS para realizar cambios. ## Casos de uso de la gestión de cambios Por motivos de seguridad, algunos cambios en AMS Advanced solo se pueden realizar mediante el proceso de solicitud de cambio (RFC) de la administración de cambios. `AWSManagedServicesCloudFormationAdminRole`Se limita a las acciones realizadas mediante este procedimiento CloudFormation (CFN). Para obtener más información sobre cómo crear pilas mediante DCM, consulte [Creación de pilas mediante el modo de cambio](https://docs.aws.amazon.com/managedservices/latest/userguide/dcm-creating-stacks.html) directo. `AWSManagedServicesUpdateRole`Está restringido a las siguientes acciones. *[Para ver ejemplos de cada tipo de cambio, incluido el tipo de cambio Gestión \$1 Cuenta gestionada \$1 Modo de cambio directo \$1 Habilitar (ct-3rd4781c2nnhp), consulte la sección «Información adicional» para ver el tipo de cambio correspondiente en la sección de AMS Advanced Change Type Reference Change Type Reference Type Change Type Change Tipos de Cambios por Clasificación.](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html)* [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/onboardingguide/dcm-change-mgmt.html) # Creación de pilas mediante el modo de cambio directo Para que AMS pueda gestionar la pila`AWSManagedServicesCloudFormationAdminRole`, hay dos requisitos a la hora de lanzar pilas: CloudFormation + La plantilla debe contener un`AmsStackTransform`. + El nombre de la pila debe empezar por el prefijo `stack-` seguido de una cadena alfanumérica de 17 caracteres. **nota** Para utilizar correctamente el`AmsStackTransform`, debe reconocer que la plantilla de pila contiene la `CAPABILITY_AUTO_EXPAND` capacidad necesaria para que CloudFormation (CFN) cree o actualice la pila. Para ello, debes pasarla `CAPABILITY_AUTO_EXPAND` como parte de tu solicitud de creación de pila. CFN rechaza la solicitud si no se reconoce esta capacidad al incluirla en `AmsStackTransform` la plantilla. La consola CFN garantiza que superes esta capacidad si tienes la transformación en tu plantilla, pero es posible que no la utilices cuando interactúes con CFN a través de ella. APIs Debe utilizar esta función siempre que utilice las siguientes llamadas a la API de CFN: [CreateChangeSet](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateChangeSet.html) [ CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html#API_CreateStack_RequestParameters) [UpdateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStack.html) Al crear o actualizar una pila con DCM, se realizan las mismas validaciones y ampliaciones de CFN Ingest y Stack Update CTs en la pila. Para obtener más información, consulte las pautas, mejores prácticas y limitaciones de la [CloudFormation ingesta](https://docs.aws.amazon.com/managedservices/latest/appguide/cfn-author-templates.html). La excepción a esto es que los grupos de seguridad predeterminados de AMS (SGs) no se adjuntarán a ninguna EC2 instancia independiente ni EC2 a ninguna instancia de los grupos de Auto Scaling (ASGs). Al crear la CloudFormation plantilla, con EC2 instancias independientes o bien ASGs, puede adjuntar la predeterminada. SGs **nota** Los roles de IAM ahora se pueden crear y administrar con. `AWSManagedServicesCloudFormationAdminRole` De forma predeterminada, los AMS SGs tienen reglas de entrada y salida que permiten que las instancias se lancen correctamente y que las operaciones de AMS y usted puedan acceder a ellas más adelante mediante SSH o RDP. Si descubre que los grupos de seguridad predeterminados de AMS son demasiado permisivos, puede crear los suyos propios SGs con reglas más restrictivas y adjuntarlos a su instancia, siempre y cuando le permitan a usted y a las operaciones de AMS acceder a la instancia durante los incidentes. Los grupos de seguridad predeterminados de AMS son los siguientes: + SentinelDefaultSecurityGroupPrivateOnly: Se puede acceder a ellos en la plantilla CFN a través de este parámetro SSM `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnly` + SentinelDefaultSecurityGroupPrivateOnlyEgressAll: Se puede acceder a él en la plantilla CFN a través de este parámetro SSM `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnlyEgressAll` ## Transformación AMS Añada una `Transform` declaración a su CloudFormation plantilla. Esto añade una CloudFormation macro que valida y registra la pila en AMS en el momento del lanzamiento. Ejemplo de **JSON** ``` "Transform": {     "Name": "AmsStackTransform",     "Parameters": {       "StackId": {"Ref" : "AWS::StackId"}     }   } ``` Ejemplo de **YAML** ``` Transform: Name: AmsStackTransform Parameters: StackId: !Ref 'AWS::StackId' ``` Agrega también la `Transform` declaración al actualizar la plantilla de una pila existente. Ejemplo de **JSON** ``` {   "AWSTemplateFormatVersion": "2010-09-09",   "Description" : "Create an SNS Topic",    "Transform": { "Name": "AmsStackTransform", "Parameters": { "StackId": {"Ref" : "AWS::StackId"} } },   "Parameters": {     "TopicName": {       "Type": "String",       "Default": "HelloWorldTopic"     }   },   "Resources": {     "SnsTopic": {       "Type": "AWS::SNS::Topic",       "Properties": {         "TopicName": {"Ref": "TopicName"}       }     }   } } ``` Ejemplo de **YAML** ``` AWSTemplateFormatVersion: '2010-09-09' Description: Create an SNS Topic Transform: Name: AmsStackTransform Parameters: StackId: !Ref 'AWS::StackId' Parameters: TopicName: Type: String Default: HelloWorldTopic Resources: SnsTopic: Type: AWS::SNS::Topic Properties: TopicName: !Ref TopicName ``` ## Nombre de pila El nombre de la pila debe empezar por el prefijo `stack-` seguido de una cadena alfanumérica de 17 caracteres. Esto es para mantener la compatibilidad con otros sistemas AMS que funcionan en la pila AMS. IDs  Los siguientes son ejemplos de formas de generar una pila compatible IDs: Bash: ``` echo "stack-$(env LC_CTYPE=C tr -dc 'a-z0-9' < /dev/urandom | head -c 17)" ``` Python: ``` import string import random 'stack-' + ''.join(random.choices(string.ascii_lowercase + string.digits, k=17)) ``` Powershell: ``` "stack-" + ( -join ((0x30..0x39) + ( 0x61..0x7A) | Get-Random -Count 17 | % {[char]$_}) ) ``` # Casos de uso del modo de cambio directo Los siguientes son casos de uso del modo de cambio directo: **Suministro y administración de recursos mediante CloudFormation** + Integre CloudFormation las herramientas y los procesos existentes. **Gestión y actualizaciones continuas de los recursos** + Pequeños cambios atómicos con bajo riesgo. + Cambios que, de otro modo, se realizarían mediante una RFC manual o automática. + Herramientas que requieren acceso a una AWS API nativa. + La función de DCM se puede utilizar si se encuentra en la fase de migración. Los equipos de migración aprovechan los permisos del DCM para crear o modificar pilas. + Las funciones de DCM se pueden utilizar en la CI/CD canalización para crear nuevas tareas AMIs, crear tareas de Amazon ECS, etc.