Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Mode Perubahan Langsung di AMS **Topics** + [Memulai dengan mode Perubahan Langsung](dcm-get-started.md) + [Keamanan dan kepatuhan](dcm-security-n-compliance.md) + [Ubah manajemen dalam mode Perubahan Langsung](dcm-change-mgmt.md) + [Membuat tumpukan menggunakan mode Perubahan Langsung](dcm-creating-stacks.md) + [Kasus penggunaan Mode Perubahan Langsung](dcm-use-cases.md) AWS Managed Services (AMS) Direct Change mode (DCM) memperluas manajemen perubahan AMS Advanced dengan menyediakan AWS akses asli ke akun AMS Advanced Plus dan Premium untuk menyediakan dan memperbarui AWS sumber daya. Dengan DCM, Anda memiliki opsi untuk menggunakan AWS API asli (konsol atau CLI/SDK) atau permintaan manajemen perubahan AMS Advanced untuk perubahan (RFCs), dan dalam kedua kasus sumber daya dan perubahannya sepenuhnya didukung oleh AMS, termasuk pemantauan, tambalan, cadangan, manajemen respons insiden. Sumber daya yang disediakan melalui DCM terdaftar di sistem manajemen pengetahuan layanan AMS (SKMS), bergabung dengan domain Active Directory yang dikelola AMS (bila berlaku), dan menjalankan agen manajemen AMS. Gunakan perkakas yang ada (misalnya, AWS SDK CloudFormation, dan CDK) untuk mengembangkan dan menerapkan tumpukan yang dikelola AMS. CloudFormation **catatan** Mode Perubahan Langsung tidak menghapus manajemen perubahan AMS RFCs. Anda memiliki akses penuh ke AMS RFCs dengan DCM. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob) # Memulai dengan mode Perubahan Langsung Mulailah dengan memeriksa prasyarat dan kemudian mengirimkan permintaan perubahan (RFC) di akun AMS Advanced Anda yang memenuhi syarat. 1. Konfirmasikan bahwa akun yang ingin Anda gunakan dengan DCM memenuhi persyaratan: + Akun tersebut adalah AMS Advanced Plus atau Premium. + Akun tidak mengaktifkan Service Catalog. Saat ini kami tidak mendukung akun orientasi ke DCM dan Service Catalog secara bersamaan. Jika Anda sudah onboard ke Service Catalog tetapi tertarik dengan DCM, diskusikan kebutuhan Anda dengan manajer pengiriman layanan cloud (CSDM) Anda. Jika Anda memutuskan untuk beralih dari Service Catalog ke DCM, offboard Service Catalog, untuk melakukan itu, sertakan permintaan dalam permintaan perubahan di bawah ini. Untuk detail tentang Service Catalog di AMS, lihat [AMS dan Service Catalog](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html). 1. Kirim permintaan perubahan (RFC) menggunakan Manajemen \$1 Akun terkelola \$1 Mode Perubahan Langsung \$1 Aktifkan jenis perubahan (ct-3rd4781c2nnhp). Untuk contoh panduan, lihat [Mode Perubahan Langsung \$1](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html) Aktifkan. Setelah CT diproses, peran IAM yang telah ditentukan sebelumnya, `AWSManagedServicesCloudFormationAdminRole` dan `AWSManagedServicesUpdateRole` disediakan dalam akun yang ditentukan. 1. Tetapkan peran yang sesuai untuk pengguna yang memerlukan akses DCM menggunakan proses federasi internal Anda. **catatan** Anda dapat menentukan sejumlah SAMLIdentity Penyedia, AWS Layanan, dan Entitas IAM (Peran, Pengguna, dll) untuk mengambil peran. Anda harus memberikan setidaknya satu:`SAMLIdentityProviderARNs`,`IAMEntityARNs`, atau`AWSServicePrincipals`. Untuk informasi lebih lanjut, konsultasikan dengan departemen IAM perusahaan Anda atau dengan arsitek cloud AMS (CA) Anda. ## Mode Perubahan Langsung peran dan kebijakan IAM Saat mode Perubahan Langsung diaktifkan di akun, entitas IAM baru ini diterapkan: `AWSManagedServicesCloudFormationAdminRole`: Peran ini memberikan akses ke CloudFormation konsol, membuat dan memperbarui CloudFormation tumpukan, melihat laporan drift, dan membuat dan mengeksekusi. CloudFormation ChangeSets Akses ke peran ini dikelola melalui penyedia SAMP Anda. Kebijakan terkelola yang diterapkan dan dilampirkan pada peran `AWSManagedServicesCloudFormationAdminRole` adalah: + Akun aplikasi AMS Advanced multi-account landing zone (MALZ) + AWSManagedServices\$1CloudFormationAdminPolicy1 + AWSManagedServices\$1CloudFormationAdminPolicy2 + Kebijakan ini mewakili izin yang diberikan kepada. `AWSManagedServicesCloudFormationAdminRole` Anda dan mitra menggunakan kebijakan ini untuk memberikan akses ke peran yang ada di akun dan mengizinkan peran tersebut untuk meluncurkan dan memperbarui CloudFormation tumpukan di akun. Ini mungkin memerlukan pembaruan kebijakan kontrol layanan AMS (SCP) tambahan untuk mengizinkan entitas IAM lainnya meluncurkan CloudFormation tumpukan. + Akun landing zone (SALZ) akun AMS Advanced single-account + AWSManagedServices\$1CloudFormationAdminPolicy1 + AWSManagedServices\$1CloudFormationAdminPolicy2 + cdk-legacy-mode-s3-akses [kebijakan in-line] + AWS ReadOnlyAccess kebijakan `AWSManagedServicesUpdateRole`: Peran ini memberikan akses terbatas ke layanan hilir AWS . APIs Peran ini diterapkan dengan kebijakan terkelola yang menyediakan operasi API yang bermutasi dan tidak bermutasi, tetapi secara umum membatasi operasi mutasi (sepertiCreate/Delete/PUT), terhadap layanan tertentu seperti IAM, KMS,, VPC, sumber daya dan konfigurasi infrastruktur AMSGuardDuty, dan sebagainya. Akses ke peran ini dikelola melalui penyedia SAMP Anda. Kebijakan terkelola yang diterapkan dan dilampirkan pada peran `AWSManagedServicesUpdateRole` adalah: + Akun aplikasi landing zone multi-akun AMS tingkat lanjut + AWSManagedServicesUpdateBasePolicy  + AWSManagedServicesUpdateDenyPolicy  + AWSManagedServicesUpdateDenyProvisioningPolicy  + AWSManagedServicesUpdateEC2dan RDSPolicy  + AWSManagedServicesUpdateDenyActionsOnAMSInfraKebijakan + Akun landing zone akun tunggal AMS Advanced + AWSManagedServicesUpdateBasePolicy  + AWSManagedServicesUpdateDenyProvisioningPolicy  + AWSManagedServicesUpdateEC2dan RDSPolicy  + AWSManagedServicesUpdateDenyActionsOnAMSInfraKebijakan1  + AWSManagedServicesUpdateDenyActionsOnAMSInfraKebijakan2 Selain itu, `AWSManagedServicesUpdateRole` peran kebijakan terkelola juga memiliki kebijakan AWS terkelola yang `ViewOnlyAccess` melekat padanya. # Keamanan dan kepatuhan Keamanan dan kepatuhan adalah tanggung jawab bersama antara AMS Advanced dan Anda, sebagai pelanggan kami. Mode AMS Advanced Direct Change tidak mengubah tanggung jawab bersama ini. ## Keamanan dalam mode Perubahan Langsung AMS Advanced menawarkan nilai tambahan dengan landing zone preskriptif, sistem manajemen perubahan, dan manajemen akses. Saat menggunakan mode Perubahan Langsung, model tanggung jawab ini tidak berubah. Namun, Anda harus mewaspadai risiko tambahan. Peran “Perbarui” Mode Perubahan Langsung (lihat[Mode Perubahan Langsung peran dan kebijakan IAM](dcm-get-started.md#dcm-gs-iam-roles-and-policies)) memberikan izin tinggi yang memungkinkan entitas mengaksesnya, untuk membuat perubahan pada sumber daya infrastruktur layanan yang didukung AMS dalam akun Anda. Dengan izin yang tinggi, beragam risiko ada tergantung pada sumber daya, layanan, dan tindakan, terutama dalam situasi di mana perubahan yang salah dibuat karena pengawasan, kesalahan, atau kurangnya kepatuhan terhadap proses internal dan kerangka kontrol Anda. Sesuai Standar Teknis AMS, risiko berikut telah diidentifikasi dan rekomendasi dibuat sebagai berikut. Informasi terperinci tentang Standar Teknis AMS tersedia melalui AWS Artifact. Untuk mengakses AWS Artifact, hubungi CSDM Anda untuk instruksi atau pergi ke [Memulai](https://aws.amazon.com/artifact/getting-started) dengan. AWS Artifact **AMS-STD-001: Penandaan** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) **AMS-STD-002: Identity and Access Management (IAM)** | Standar | Apakah itu rusak | Risiko | Rekomendasi | | --- | --- | --- | --- | | 4.7 Tindakan, yang melewati proses manajemen perubahan (RFC), tidak boleh diizinkan seperti memulai atau menghentikan instance, pembuatan bucket S3 atau instans RDS, dan sebagainya. Akun mode pengembang dan layanan mode Penyediaan Layanan Mandiri (SSPS) dikecualikan selama tindakan dilakukan dalam batas-batas peran yang ditugaskan. | Ya. Tujuan tindakan layanan mandiri memungkinkan Anda melakukan tindakan melewati sistem AMS RFC. | Model akses aman adalah aspek teknis inti AMS dan pengguna IAM untuk konsol atau akses terprogram menghindari kontrol akses ini. Akses pengguna IAM tidak dipantau oleh manajemen perubahan AMS. Akses CloudTrail hanya login. | Pengguna IAM harus dibatasi waktu dan diberikan izin berdasarkan hak istimewa paling sedikit dan. need-to-know | **AMS-STD-003: Keamanan Jaringan** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) **AMS-STD-007: Penebangan** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) Bekerja dengan tim otorisasi dan otentikasi internal Anda untuk mengontrol izin ke peran mode Perubahan Langsung yang sesuai. ## Kepatuhan dalam mode Perubahan Langsung Mode Perubahan Langsung kompatibel dengan beban kerja produksi dan non-produksi. Anda bertanggung jawab untuk memastikan kepatuhan terhadap standar kepatuhan apa pun (misalnya, PHI, HIPAA, PCI), dan untuk memastikan bahwa penggunaan mode Perubahan Langsung sesuai dengan kerangka kerja dan standar kontrol internal Anda. # Ubah manajemen dalam mode Perubahan Langsung Manajemen perubahan adalah proses yang digunakan AMS Advanced untuk mengimplementasikan permintaan perubahan. Permintaan untuk perubahan (RFC) adalah permintaan yang dibuat oleh Anda, atau AMS Advanced melalui antarmuka AMS Advanced untuk membuat perubahan pada lingkungan terkelola Anda dan menyertakan ID AMS Advanced change type (CT) untuk operasi tertentu. Untuk informasi selengkapnya, lihat [Mengubah manajemen](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-what-is.html). **catatan** Mode Perubahan Langsung tidak menghapus manajemen perubahan AMS RFCs, Anda masih memiliki akses penuh ke AMS RFCs dengan DCM. Mode Perubahan Langsung AMS (DCM) memperluas manajemen perubahan AMS Advanced dengan menyediakan AWS akses asli ke akun AMS Advanced Plus dan Premium untuk menyediakan dan memperbarui AWS sumber daya. Pengguna yang telah diberikan izin mode Perubahan Langsung melalui peran IAM, dapat menggunakan akses AWS API asli ke penyediaan dan membuat perubahan pada sumber daya di akun AMS Advanced mereka. Pengguna masih dapat menggunakan manajemen perubahan AMS Advanced RFCs menggunakan peran IAM yang sama. Dalam kedua kasus, sumber daya dan perubahannya sepenuhnya didukung oleh AMS, termasuk pemantauan, tambalan, cadangan, manajemen respons insiden. Pengguna yang tidak memiliki peran yang sesuai dalam akun ini harus menggunakan proses RFC manajemen perubahan AMS Advanced untuk melakukan perubahan. ## Ubah kasus penggunaan manajemen Untuk alasan keamanan, beberapa perubahan pada AMS Advanced hanya dapat dilakukan melalui proses Change Management Request for Change (RFC). `AWSManagedServicesCloudFormationAdminRole`Ini terbatas pada tindakan yang diambil melalui CloudFormation (CFN). Untuk selengkapnya tentang cara membuat tumpukan melalui DCM, lihat [Membuat tumpukan menggunakan mode Perubahan Langsung](https://docs.aws.amazon.com/managedservices/latest/userguide/dcm-creating-stacks.html). `AWSManagedServicesUpdateRole`Ini dibatasi untuk tindakan berikut. *[Misalnya penelusuran untuk setiap jenis perubahan, termasuk jenis perubahan Manajemen \$1 Akun terkelola \$1 Mode Perubahan Langsung \$1 Aktifkan (ct-3rd4781c2nnhp), lihat bagian “Informasi Tambahan” untuk jenis perubahan yang relevan di bagian AMS Advanced Change Type Reference Change Type by Classification.](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html)* [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/dcm-change-mgmt.html) # Membuat tumpukan menggunakan mode Perubahan Langsung Ada dua persyaratan saat meluncurkan tumpukan dalam CloudFormation menggunakan`AWSManagedServicesCloudFormationAdminRole`, agar tumpukan dikelola oleh AMS: + Template harus berisi file`AmsStackTransform`. + Nama tumpukan harus dimulai dengan awalan `stack-` diikuti oleh string alfanumerik 17 karakter. **catatan** Agar berhasil menggunakan`AmsStackTransform`, Anda harus mengakui bahwa template tumpukan Anda berisi `CAPABILITY_AUTO_EXPAND` kemampuan agar CloudFormation (CFN) membuat atau memperbarui tumpukan. Anda melakukan ini dengan meneruskan `CAPABILITY_AUTO_EXPAND` sebagai bagian dari permintaan create-stack Anda. CFN menolak permintaan jika kemampuan ini tidak diakui ketika disertakan dalam template. `AmsStackTransform` Konsol CFN memastikan bahwa Anda melewati kemampuan ini jika Anda memiliki transformasi di template Anda, tetapi ini dapat dilewatkan ketika Anda berinteraksi dengan CFN melalui mereka. APIs Anda harus meneruskan kemampuan ini setiap kali Anda menggunakan panggilan API CFN berikut: [CreateChangeSet](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateChangeSet.html) [ CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html#API_CreateStack_RequestParameters) [UpdateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStack.html) Saat membuat atau memperbarui tumpukan dengan DCM, validasi dan augmentasi CFN Ingest dan Pembaruan CTs Tumpukan yang sama dilakukan di tumpukan, untuk informasi selengkapnya lihat Pedoman [CloudFormation Ingest](https://docs.aws.amazon.com/managedservices/latest/appguide/cfn-author-templates.html), Praktik Terbaik, dan Batasan. Pengecualian untuk ini adalah bahwa grup keamanan default AMS (SGs) tidak akan dilampirkan ke instance atau EC2 EC2 instance yang berdiri sendiri di grup Auto Scaling (). ASGs Saat Anda membuat CloudFormation template, dengan EC2 instance yang berdiri sendiri atau ASGs, Anda dapat melampirkan default. SGs **catatan** Peran IAM sekarang dapat dibuat dan dikelola dengan. `AWSManagedServicesCloudFormationAdminRole` Default AMS SGs memiliki aturan masuk dan keluar yang memungkinkan instans berhasil diluncurkan dan diakses nanti melalui SSH atau RDP oleh operasi AMS dan Anda. Jika Anda menemukan bahwa grup keamanan default AMS terlalu permisif, Anda dapat membuat sendiri SGs dengan aturan yang lebih ketat dan melampirkannya ke instans Anda, asalkan masih memungkinkan Anda dan operasi AMS untuk mengakses instans selama insiden. Grup keamanan default AMS adalah sebagai berikut: + SentinelDefaultSecurityGroupPrivateOnly: Dapat diakses di template CFN melalui parameter SSM ini `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnly` + SentinelDefaultSecurityGroupPrivateOnlyEgressAll: Dapat diakses di template CFN melalui parameter SSM ini `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnlyEgressAll` ## Transformasi AMS Tambahkan `Transform` pernyataan ke CloudFormation template Anda. Ini menambahkan CloudFormation makro yang memvalidasi dan mendaftarkan tumpukan dengan AMS pada waktu peluncuran. **Contoh JSON** ``` "Transform": {     "Name": "AmsStackTransform",     "Parameters": {       "StackId": {"Ref" : "AWS::StackId"}     }   } ``` **Contoh YAMM** ``` Transform: Name: AmsStackTransform Parameters: StackId: !Ref 'AWS::StackId' ``` Tambahkan juga `Transform` pernyataan saat memperbarui template tumpukan yang ada. **Contoh JSON** ``` {   "AWSTemplateFormatVersion": "2010-09-09",   "Description" : "Create an SNS Topic",    "Transform": { "Name": "AmsStackTransform", "Parameters": { "StackId": {"Ref" : "AWS::StackId"} } },   "Parameters": {     "TopicName": {       "Type": "String",       "Default": "HelloWorldTopic"     }   },   "Resources": {     "SnsTopic": {       "Type": "AWS::SNS::Topic",       "Properties": {         "TopicName": {"Ref": "TopicName"}       }     }   } } ``` **Contoh YAMM** ``` AWSTemplateFormatVersion: '2010-09-09' Description: Create an SNS Topic Transform: Name: AmsStackTransform Parameters: StackId: !Ref 'AWS::StackId' Parameters: TopicName: Type: String Default: HelloWorldTopic Resources: SnsTopic: Type: AWS::SNS::Topic Properties: TopicName: !Ref TopicName ``` ## Nama tumpukan Nama tumpukan harus dimulai dengan awalan `stack-` diikuti oleh string alfanumerik 17 karakter. Ini untuk menjaga kompatibilitas dengan sistem AMS lain yang beroperasi pada tumpukan AMS IDs.  Berikut ini adalah contoh cara untuk menghasilkan tumpukan yang kompatibel IDs: Bash: ``` echo "stack-$(env LC_CTYPE=C tr -dc 'a-z0-9' < /dev/urandom | head -c 17)" ``` Python: ``` import string import random 'stack-' + ''.join(random.choices(string.ascii_lowercase + string.digits, k=17)) ``` PowerShell: ``` "stack-" + ( -join ((0x30..0x39) + ( 0x61..0x7A) | Get-Random -Count 17 | % {[char]$_}) ) ``` # Kasus penggunaan Mode Perubahan Langsung Berikut ini adalah kasus penggunaan untuk Mode Perubahan Langsung: **Penyediaan dan manajemen sumber daya melalui CloudFormation** + Integrasikan perkakas dan proses CloudFormation berbasis yang ada. **Manajemen dan pembaruan sumber daya yang sedang berlangsung** + Perubahan atom kecil dengan risiko rendah. + Perubahan yang seharusnya berjalan melalui RFC manual atau otomatis. + Perkakas yang membutuhkan akses AWS API asli. + Peran DCM dapat digunakan jika Anda berada dalam tahap migrasi. Tim migrasi memanfaatkan izin di DCM untuk membuat atau memodifikasi tumpukan. + Peran DCM dapat digunakan dalam CI/CD pipeline untuk membangun baru AMIs, membuat tugas Amazon ECS, dan sebagainya.