Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Commencer à utiliser le mode Direct Change
<a name="dcm-get-started"></a>

Commencez par vérifier les conditions préalables, puis soumettez une demande de modification (RFC) sur votre compte AMS Advanced éligible.

1. Vérifiez que le compte que vous souhaitez utiliser avec DCM répond aux exigences :
   + Le compte est AMS Advanced Plus ou Premium.
   + Service Catalog n'est pas activé sur le compte. À l'heure actuelle, nous ne prenons pas en charge l'intégration de comptes à la fois à DCM et à Service Catalog. Si vous êtes déjà inscrit à Service Catalog mais que vous êtes intéressé par DCM, discutez de vos besoins avec votre responsable de prestation de services cloud (CSDM). Si vous décidez de passer de Service Catalog à DCM, déconnectez Service Catalog. Pour ce faire, incluez la demande dans la demande de modification ci-dessous. Pour plus de détails sur Service Catalog dans AMS, consultez [AMS and Service Catalog](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html).

1. Soumettez une demande de modification (RFC) à l'aide de la commande Gestion \$1 Compte géré \$1 Mode de changement direct \$1 Activer le type de modification (ct-3rd4781c2nnhp). Pour un exemple de procédure pas à pas, voir [Mode de changement direct \$1 Activer](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html).

   Une fois le CT traité, les rôles IAM prédéfinis `AWSManagedServicesUpdateRole` sont provisionnés dans le compte spécifié. `AWSManagedServicesCloudFormationAdminRole`

1. Attribuez le rôle approprié aux utilisateurs qui ont besoin d'un accès au DCM à l'aide de votre processus de fédération interne. 

**Note**  
Vous pouvez spécifier un nombre illimité de SAMLIdentity fournisseurs, de AWS services et d'entités IAM (rôles, utilisateurs, etc.) pour assumer les rôles. Vous devez fournir au moins un : `SAMLIdentityProviderARNs``IAMEntityARNs`, ou`AWSServicePrincipals`. Pour plus d'informations, contactez le service IAM de votre entreprise ou votre architecte cloud AMS (CA).

## Rôles et politiques IAM en mode Changement direct
<a name="dcm-gs-iam-roles-and-policies"></a>

Lorsque le mode Direct Change est activé dans un compte, les nouvelles entités IAM suivantes sont déployées :

`AWSManagedServicesCloudFormationAdminRole`: ce rôle permet d'accéder à la CloudFormation console, de créer et de mettre à jour des CloudFormation piles, d'afficher des rapports de dérive, de créer et d'exécuter CloudFormation ChangeSets. L'accès à ce rôle est géré par le biais de votre fournisseur SAML.

Les politiques gérées déployées et associées au rôle `AWSManagedServicesCloudFormationAdminRole` sont les suivantes :
+ Compte d'application AMS Advanced multi-comptes landing zone (MALZ)
  + AWSManagedServices\$1CloudFormationAdminPolicy1
  + AWSManagedServices\$1CloudFormationAdminPolicy2
    + Cette politique représente les autorisations accordées à`AWSManagedServicesCloudFormationAdminRole`. Vous et vos partenaires utilisez cette politique pour accorder l'accès à un rôle existant dans le compte et permettre à ce rôle de lancer et de mettre à jour des CloudFormation stacks dans le compte. Cela peut nécessiter des mises à jour supplémentaires de la politique de contrôle des services (SCP) AMS pour permettre à d'autres entités IAM de lancer CloudFormation des stacks.
+ Compte de zone d'atterrissage à compte unique (SALZ) AMS Advanced
  + AWSManagedServices\$1CloudFormationAdminPolicy1
  + AWSManagedServices\$1CloudFormationAdminPolicy2
  + cdk-legacy-mode-s3-accès [politique en ligne]
  + AWS ReadOnlyAccess politique

`AWSManagedServicesUpdateRole`: ce rôle accorde un accès restreint au AWS service en aval APIs. Le rôle est déployé avec des politiques gérées qui fournissent des opérations d'API mutantes et non mutantes, mais limitent en général les opérations mutantes (telles queCreate/Delete/PUT) à certains services tels que les ressources et la configuration de l'infrastructure IAM, KMS, GuardDuty VPC, AMS, etc. L'accès à ce rôle est géré par le biais de votre fournisseur SAML.

Les politiques gérées déployées et associées au rôle `AWSManagedServicesUpdateRole` sont les suivantes :
+ Compte d'application de zone d'atterrissage multi-comptes AMS Advanced
  + AWSManagedServicesUpdateBasePolicy 
  + AWSManagedServicesUpdateDenyPolicy 
  + AWSManagedServicesUpdateDenyProvisioningPolicy 
  + AWSManagedServicesUpdateEC2Et RDSPolicy 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitique
+ Compte de zone d'atterrissage à compte unique AMS Advanced
  + AWSManagedServicesUpdateBasePolicy 
  + AWSManagedServicesUpdateDenyProvisioningPolicy 
  + AWSManagedServicesUpdateEC2Et RDSPolicy 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitique 1 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitique 2

En outre, la stratégie gérée est également `ViewOnlyAccess` associée au `AWSManagedServicesUpdateRole` rôle de stratégie AWS gérée.