Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Mode de changement direct dans AMS **Topics** + [Commencer à utiliser le mode Direct Change](dcm-get-started.md) + [Sécurité et conformité](dcm-security-n-compliance.md) + [Gestion du changement en mode Direct Change](dcm-change-mgmt.md) + [Création de piles à l'aide du mode Direct Change](dcm-creating-stacks.md) + [Cas d'utilisation du mode de changement direct](dcm-use-cases.md) Le mode Direct Change (DCM) d'AWS Managed Services (AMS) étend la gestion des modifications d'AMS Advanced en fournissant un AWS accès natif aux comptes AMS Advanced Plus et Premium pour provisionner et mettre à jour les AWS ressources. Avec DCM, vous avez la possibilité d'utiliser une AWS API native (console ou CLI/SDK) ou des demandes de modification de gestion des modifications AMS Advanced (RFCs). Dans les deux cas, les ressources et leurs modifications sont entièrement prises en charge par AMS, y compris la surveillance, les correctifs, les sauvegardes et la gestion des réponses aux incidents. Les ressources fournies via DCM sont enregistrées dans le système de gestion des connaissances des services AMS (SKMS), jointes au domaine Active Directory géré par AMS (le cas échéant) et exécutent les agents de gestion AMS. Utilisez les outils existants (par exemple CloudFormation, le AWS SDK et le CDK) pour développer et déployer des stacks gérés par AMS. CloudFormation **Note** Le mode Direct Change ne supprime pas la gestion des modifications AMS RFCs. Vous avez un accès complet à AMS RFCs avec DCM. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob) # Commencer à utiliser le mode Direct Change Commencez par vérifier les conditions préalables, puis soumettez une demande de modification (RFC) sur votre compte AMS Advanced éligible. 1. Vérifiez que le compte que vous souhaitez utiliser avec DCM répond aux exigences : + Le compte est AMS Advanced Plus ou Premium. + Service Catalog n'est pas activé sur le compte. À l'heure actuelle, nous ne prenons pas en charge l'intégration de comptes à la fois à DCM et à Service Catalog. Si vous êtes déjà inscrit à Service Catalog mais que vous êtes intéressé par DCM, discutez de vos besoins avec votre responsable de prestation de services cloud (CSDM). Si vous décidez de passer de Service Catalog à DCM, déconnectez Service Catalog. Pour ce faire, incluez la demande dans la demande de modification ci-dessous. Pour plus de détails sur Service Catalog dans AMS, consultez [AMS and Service Catalog](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html). 1. Soumettez une demande de modification (RFC) à l'aide de la commande Gestion \$1 Compte géré \$1 Mode de changement direct \$1 Activer le type de modification (ct-3rd4781c2nnhp). Pour un exemple de procédure pas à pas, voir [Mode de changement direct \$1 Activer](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html). Une fois le CT traité, les rôles IAM prédéfinis `AWSManagedServicesUpdateRole` sont provisionnés dans le compte spécifié. `AWSManagedServicesCloudFormationAdminRole` 1. Attribuez le rôle approprié aux utilisateurs qui ont besoin d'un accès au DCM à l'aide de votre processus de fédération interne. **Note** Vous pouvez spécifier un nombre illimité de SAMLIdentity fournisseurs, de AWS services et d'entités IAM (rôles, utilisateurs, etc.) pour assumer les rôles. Vous devez fournir au moins un : `SAMLIdentityProviderARNs``IAMEntityARNs`, ou`AWSServicePrincipals`. Pour plus d'informations, contactez le service IAM de votre entreprise ou votre architecte cloud AMS (CA). ## Rôles et politiques IAM en mode Changement direct Lorsque le mode Direct Change est activé dans un compte, les nouvelles entités IAM suivantes sont déployées : `AWSManagedServicesCloudFormationAdminRole`: ce rôle permet d'accéder à la CloudFormation console, de créer et de mettre à jour des CloudFormation piles, d'afficher des rapports de dérive, de créer et d'exécuter CloudFormation ChangeSets. L'accès à ce rôle est géré par le biais de votre fournisseur SAML. Les politiques gérées déployées et associées au rôle `AWSManagedServicesCloudFormationAdminRole` sont les suivantes : + Compte d'application AMS Advanced multi-comptes landing zone (MALZ) + AWSManagedServices\$1CloudFormationAdminPolicy1 + AWSManagedServices\$1CloudFormationAdminPolicy2 + Cette politique représente les autorisations accordées à`AWSManagedServicesCloudFormationAdminRole`. Vous et vos partenaires utilisez cette politique pour accorder l'accès à un rôle existant dans le compte et permettre à ce rôle de lancer et de mettre à jour des CloudFormation stacks dans le compte. Cela peut nécessiter des mises à jour supplémentaires de la politique de contrôle des services (SCP) AMS pour permettre à d'autres entités IAM de lancer CloudFormation des stacks. + Compte de zone d'atterrissage à compte unique (SALZ) AMS Advanced + AWSManagedServices\$1CloudFormationAdminPolicy1 + AWSManagedServices\$1CloudFormationAdminPolicy2 + cdk-legacy-mode-s3-accès [politique en ligne] + AWS ReadOnlyAccess politique `AWSManagedServicesUpdateRole`: ce rôle accorde un accès restreint au AWS service en aval APIs. Le rôle est déployé avec des politiques gérées qui fournissent des opérations d'API mutantes et non mutantes, mais limitent en général les opérations mutantes (telles queCreate/Delete/PUT) à certains services tels que les ressources et la configuration de l'infrastructure IAM, KMS, GuardDuty VPC, AMS, etc. L'accès à ce rôle est géré par le biais de votre fournisseur SAML. Les politiques gérées déployées et associées au rôle `AWSManagedServicesUpdateRole` sont les suivantes : + Compte d'application de zone d'atterrissage multi-comptes AMS Advanced + AWSManagedServicesUpdateBasePolicy  + AWSManagedServicesUpdateDenyPolicy  + AWSManagedServicesUpdateDenyProvisioningPolicy  + AWSManagedServicesUpdateEC2Et RDSPolicy  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitique + Compte de zone d'atterrissage à compte unique AMS Advanced + AWSManagedServicesUpdateBasePolicy  + AWSManagedServicesUpdateDenyProvisioningPolicy  + AWSManagedServicesUpdateEC2Et RDSPolicy  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitique 1  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitique 2 En outre, la stratégie gérée est également `ViewOnlyAccess` associée au `AWSManagedServicesUpdateRole` rôle de stratégie AWS gérée. # Sécurité et conformité La sécurité et la conformité sont une responsabilité partagée entre AMS Advanced et vous, en tant que client. Le mode AMS Advanced Direct Change ne modifie pas cette responsabilité partagée. ## Sécurité en mode Direct Change AMS Advanced offre une valeur ajoutée avec une zone d'atterrissage prescriptive, un système de gestion du changement et une gestion des accès. Lorsque vous utilisez le mode Changement direct, ce modèle de responsabilité ne change pas. Cependant, vous devez être conscient des risques supplémentaires. Le rôle « Mise à jour » du mode de changement direct (voir[Rôles et politiques IAM en mode Changement direct](dcm-get-started.md#dcm-gs-iam-roles-and-policies)) fournit des autorisations élevées permettant à l'entité qui y a accès d'apporter des modifications aux ressources d'infrastructure des services pris en charge par AMS au sein de votre compte. Avec des autorisations élevées, les risques varient en fonction de la ressource, du service et des actions, en particulier dans les situations où une modification incorrecte est apportée en raison d'un oubli, d'une erreur ou d'un non-respect de votre processus interne et de votre cadre de contrôle. Conformément aux normes techniques de l'AMS, les risques suivants ont été identifiés et les recommandations suivantes sont formulées. Des informations détaillées sur les normes techniques AMS sont disponibles via AWS Artifact. Pour y accéder AWS Artifact, contactez votre CSDM pour obtenir des instructions ou rendez-vous sur [Getting Started with](https://aws.amazon.com/artifact/getting-started). AWS Artifact **AMS-STD-001 : Marquage** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) **AMS-STD-002 : Identity and Access Management (IAM)** | Normes | Est-ce que ça se casse | Risques | Recommandations | | --- | --- | --- | --- | | 4.7 Les actions qui contournent le processus de gestion des modifications (RFC) ne doivent pas être autorisées, telles que le démarrage ou l'arrêt d'une instance, la création de compartiments S3 ou d'instances RDS, etc. Les comptes en mode développeur et les services en mode Self-Service Provisioned (SSPS) sont exemptés tant que les actions sont effectuées dans les limites du rôle attribué. | Oui. L'objectif des actions en libre-service vous permet d'effectuer des actions en contournant le système AMS RFC. | Le modèle d'accès sécurisé est une facette technique essentielle d'AMS et un utilisateur IAM pour l'accès à la console ou par programme contourne ce contrôle d'accès. L'accès des utilisateurs IAM n'est pas surveillé par la gestion des modifications d'AMS. L'accès est CloudTrail uniquement connecté. | L'utilisateur IAM doit être limité dans le temps et bénéficier d'autorisations basées sur le moindre privilège et. need-to-know | **AMS-STD-003 : Sécurité réseau** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) **AMS-STD-007 : Journalisation** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) Collaborez avec votre équipe interne d'autorisation et d'authentification pour contrôler en conséquence les autorisations relatives aux rôles du mode Changement direct. ## Conformité en mode Direct Change Le mode Direct Change est compatible avec les charges de travail en production et hors production. Il est de votre responsabilité de garantir le respect de toutes les normes de conformité (par exemple, PHI, HIPAA, PCI) et de vous assurer que l'utilisation du mode Direct Change est conforme à vos cadres et normes de contrôle internes. # Gestion du changement en mode Direct Change La gestion du changement est le processus qu'AMS Advanced utilise pour mettre en œuvre les demandes de modification. Une demande de modification (RFC) est une demande créée par vous-même ou par AMS Advanced via l'interface AMS Advanced pour apporter une modification à votre environnement géré et inclut un ID de type de modification (CT) AMS Advanced pour une opération particulière. Pour plus d'informations, consultez la section [Gestion des modifications](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-what-is.html). **Note** Le mode Direct Change ne supprime pas la gestion des RFCs modifications d'AMS. Vous avez toujours un accès complet à AMS RFCs avec DCM. Le mode AMS Direct Change (DCM) étend la gestion des modifications d'AMS Advanced en fournissant un AWS accès natif aux comptes AMS Advanced Plus et Premium pour provisionner et mettre à jour les AWS ressources. Les utilisateurs qui ont obtenu l'autorisation du mode Direct Change via les rôles IAM peuvent utiliser AWS l'accès API natif pour approvisionner et modifier les ressources de leurs comptes AMS Advanced. Les utilisateurs peuvent toujours utiliser la gestion des modifications AMS Advanced RFCs en utilisant les mêmes rôles IAM. Dans les deux cas, les ressources et leurs modifications sont entièrement prises en charge par AMS, y compris la surveillance, les correctifs, les sauvegardes et la gestion de la réponse aux incidents. Les utilisateurs qui n'ont pas le rôle approprié dans ces comptes doivent utiliser le processus RFC de gestion des modifications AMS Advanced pour apporter des modifications. ## Cas d'utilisation de la gestion du changement Pour des raisons de sécurité, certaines modifications apportées à AMS Advanced ne peuvent être effectuées que par le biais du processus de demande de modification (RFC) de gestion des modifications. Elle `AWSManagedServicesCloudFormationAdminRole` est limitée aux actions entreprises par le biais de CloudFormation (CFN). Pour en savoir plus sur la création de piles via DCM, voir [Création de piles à l'aide du mode Direct Change](https://docs.aws.amazon.com/managedservices/latest/userguide/dcm-creating-stacks.html). Elle `AWSManagedServicesUpdateRole` est limitée aux actions suivantes. [Pour des exemples de procédures pas à pas pour chaque type de modification, y compris le type de modification Gestion \$1 Compte géré \$1 Mode de changement direct \$1 Activer (ct-3rd4781c2nnhp), consultez la section « Informations supplémentaires » pour le type de modification correspondant dans la section *AMS* Advanced Change Type Reference Change Type Reference Change Types par classification.](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/dcm-change-mgmt.html) # Création de piles à l'aide du mode Direct Change Pour que la pile soit gérée par AMS`AWSManagedServicesCloudFormationAdminRole`, deux conditions sont requises lors du lancement de piles à l' CloudFormation aide de : + Le modèle doit contenir un`AmsStackTransform`. + Le nom de la pile doit commencer par le préfixe `stack-` suivi d'une chaîne alphanumérique de 17 caractères. **Note** Pour utiliser correctement le`AmsStackTransform`, vous devez reconnaître que votre modèle de pile contient la `CAPABILITY_AUTO_EXPAND` capacité permettant à CloudFormation (CFN) de créer ou de mettre à jour la pile. Pour ce faire, vous devez transmettre le dans le `CAPABILITY_AUTO_EXPAND` cadre de votre demande de création de pile. Le CFN rejette la demande si cette fonctionnalité n'est pas reconnue lors de `AmsStackTransform` son inclusion dans le modèle. La console CFN garantit que vous transmettez cette fonctionnalité si vous avez la transformation dans votre modèle, mais elle peut être manquée lorsque vous interagissez avec CFN via leur. APIs Vous devez transmettre cette fonctionnalité chaque fois que vous utilisez les appels d'API CFN suivants : [CreateChangeSet](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateChangeSet.html) [ CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html#API_CreateStack_RequestParameters) [UpdateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStack.html) Lors de la création ou de la mise à jour d'une pile avec DCM, les mêmes validations et augmentations de CFN Ingest et Stack Update CTs sont effectuées sur la pile. Pour plus d'informations, consultez les [directives d'CloudFormation ingestion, les meilleures pratiques](https://docs.aws.amazon.com/managedservices/latest/appguide/cfn-author-templates.html) et les limites. L'exception à cette règle est que les groupes de sécurité AMS par défaut (SGs) ne seront attachés à aucune EC2 instance autonome ni à aucune instance EC2 des groupes Auto Scaling (ASGs). Lorsque vous créez votre CloudFormation modèle, avec des EC2 instances autonomes ou ASGs, vous pouvez associer le modèle par défaut SGs. **Note** Les rôles IAM peuvent désormais être créés et gérés à l'aide du`AWSManagedServicesCloudFormationAdminRole`. Par défaut, AMS SGs possède des règles d'entrée et de sortie qui permettent aux instances de se lancer correctement et d'y accéder ultérieurement via SSH ou RDP par les opérations AMS et par vous. Si vous trouvez que les groupes de sécurité AMS par défaut sont trop permissifs, vous pouvez créer les vôtres SGs avec des règles plus restrictives et les associer à votre instance, à condition que cela vous permette, ainsi qu'aux opérations AMS, d'accéder à l'instance lors d'incidents. Les groupes de sécurité AMS par défaut sont les suivants : + SentinelDefaultSecurityGroupPrivateOnly: Accessible dans le modèle CFN via ce paramètre SSM `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnly` + SentinelDefaultSecurityGroupPrivateOnlyEgressAll: Accessible dans le modèle CFN via ce paramètre SSM `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnlyEgressAll` ## Transformation AMS Ajoutez une `Transform` déclaration à votre CloudFormation modèle. Cela ajoute une CloudFormation macro qui valide et enregistre la pile auprès d'AMS au moment du lancement. Exemple **JSON** ``` "Transform": {     "Name": "AmsStackTransform",     "Parameters": {       "StackId": {"Ref" : "AWS::StackId"}     }   } ``` **Exemple YAML** ``` Transform: Name: AmsStackTransform Parameters: StackId: !Ref 'AWS::StackId' ``` Ajoutez également l'`Transform`instruction lors de la mise à jour du modèle d'une pile existante. Exemple **JSON** ``` {   "AWSTemplateFormatVersion": "2010-09-09",   "Description" : "Create an SNS Topic",    "Transform": { "Name": "AmsStackTransform", "Parameters": { "StackId": {"Ref" : "AWS::StackId"} } },   "Parameters": {     "TopicName": {       "Type": "String",       "Default": "HelloWorldTopic"     }   },   "Resources": {     "SnsTopic": {       "Type": "AWS::SNS::Topic",       "Properties": {         "TopicName": {"Ref": "TopicName"}       }     }   } } ``` **Exemple YAML** ``` AWSTemplateFormatVersion: '2010-09-09' Description: Create an SNS Topic Transform: Name: AmsStackTransform Parameters: StackId: !Ref 'AWS::StackId' Parameters: TopicName: Type: String Default: HelloWorldTopic Resources: SnsTopic: Type: AWS::SNS::Topic Properties: TopicName: !Ref TopicName ``` ## Nom de la pile Le nom de la pile doit commencer par le préfixe `stack-` suivi d'une chaîne alphanumérique de 17 caractères. Cela permet de maintenir la compatibilité avec les autres systèmes AMS qui fonctionnent sur la pile AMS IDs.  Voici des exemples de méthodes permettant de générer une pile compatible IDs : Bash : ``` echo "stack-$(env LC_CTYPE=C tr -dc 'a-z0-9' < /dev/urandom | head -c 17)" ``` Python : ``` import string import random 'stack-' + ''.join(random.choices(string.ascii_lowercase + string.digits, k=17)) ``` PowerShell : ``` "stack-" + ( -join ((0x30..0x39) + ( 0x61..0x7A) | Get-Random -Count 17 | % {[char]$_}) ) ``` # Cas d'utilisation du mode de changement direct Les cas d'utilisation du mode de changement direct sont les suivants : **Fourniture et gestion des ressources par CloudFormation** + Intégrez l' CloudFormationoutillage et les processus existants. **Gestion continue des ressources et mises à jour** + Petits changements atomiques à faible risque. + Modifications qui seraient autrement exécutées par le biais d'une RFC manuelle ou automatisée. + Outillage nécessitant un accès natif à AWS l'API. + Le rôle DCM peut être utilisé si vous êtes en phase de migration. Les équipes de migration exploitent les autorisations du DCM pour créer ou modifier des piles. + Les rôles DCM peuvent être utilisés dans le CI/CD pipeline pour créer de nouvelles tâches AMIs, créer des tâches Amazon ECS, etc.