Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Modalità Direct Change in AMS **Topics** + [Guida introduttiva alla modalità Direct Change](dcm-get-started.md) + [Sicurezza e conformità](dcm-security-n-compliance.md) + [Gestione delle modifiche in modalità Direct Change](dcm-change-mgmt.md) + [Creazione di pile utilizzando la modalità Direct Change](dcm-creating-stacks.md) + [Casi d'uso della modalità Direct Change](dcm-use-cases.md) La modalità Direct Change (DCM) di AWS Managed Services (AMS) estende la gestione delle modifiche di AMS Advanced fornendo AWS accesso nativo agli account AMS Advanced Plus e Premium per fornire e aggiornare AWS le risorse. Con DCM, hai la possibilità di utilizzare AWS API native (console o CLI/SDK) o richieste di modifica AMS Advanced Change Management (RFCs) e in entrambi i casi le risorse e le modifiche ad esse apportate sono completamente supportate da AMS, tra cui monitoraggio, patch, backup e gestione della risposta agli incidenti. Le risorse fornite tramite DCM sono registrate nel sistema di gestione della conoscenza dei servizi AMS (SKMS), aggiunte al dominio Active Directory gestito da AMS (se applicabile) ed eseguono agenti di gestione AMS. Utilizza gli strumenti esistenti (ad esempio AWS SDK e CDK) per sviluppare e distribuire stack gestiti da AMS. CloudFormation CloudFormation **Nota** La modalità Direct Change non rimuove la gestione delle modifiche AMS. RFCs Hai pieno accesso ad AMS RFCs con DCM. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob) # Guida introduttiva alla modalità Direct Change Inizia controllando i prerequisiti e poi inviando una richiesta di modifica (RFC) nel tuo account AMS Advanced idoneo. 1. Verifica che l'account che desideri utilizzare con DCM soddisfi i requisiti: + L'account è AMS Advanced Plus o Premium. + L'account non ha Service Catalog abilitato. Al momento non supportiamo l'onboarding degli account sia su DCM che su Service Catalog allo stesso tempo. Se hai già effettuato l'accesso a Service Catalog ma sei interessato a DCM, discuti le tue esigenze con il tuo cloud service delivery manager (CSDM). Se decidi di passare da Service Catalog a DCM, offboard Service Catalog, per farlo, includi la richiesta nella richiesta di modifica riportata di seguito. Per informazioni dettagliate su Service Catalog in AMS, consulta [AMS and Service Catalog](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html). 1. Invia una richiesta di modifica (RFC) utilizzando la modalità Gestione \$1 Account gestito \$1 Modifica diretta \$1 Abilita il tipo di modifica (ct-3rd4781c2nnhp). [Per un esempio di procedura dettagliata, consulta la modalità Direct Change \$1 Enable.](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html) Dopo l'elaborazione del CT, i ruoli IAM predefiniti `AWSManagedServicesUpdateRole` vengono assegnati all'account specificato. `AWSManagedServicesCloudFormationAdminRole` 1. Assegna il ruolo appropriato agli utenti che richiedono l'accesso a DCM utilizzando il processo di federazione interno. **Nota** È possibile specificare un numero qualsiasi di SAMLIdentity provider, AWS servizi ed entità IAM (ruoli, utenti, ecc.) per assumere i ruoli. È necessario fornire almeno uno: `SAMLIdentityProviderARNs``IAMEntityARNs`, o`AWSServicePrincipals`. Per ulteriori informazioni, rivolgiti al dipartimento IAM della tua azienda o al tuo architetto cloud AMS (CA). ## Ruoli e politiche IAM in modalità Direct Change Quando la modalità Direct Change è abilitata in un account, vengono implementate queste nuove entità IAM: `AWSManagedServicesCloudFormationAdminRole`: Questo ruolo consente l'accesso alla CloudFormation console, la creazione e l'aggiornamento degli CloudFormation stack, la visualizzazione dei report sulle deviazioni e la creazione e l'esecuzione. CloudFormation ChangeSets L'accesso a questo ruolo è gestito tramite il tuo provider SAML. Le politiche gestite che vengono implementate e associate al ruolo `AWSManagedServicesCloudFormationAdminRole` sono: + Account applicativo AMS Advanced multi-account landing zone (MALZ) + AWSManagedServices\$1CloudFormationAdminPolicy1 + AWSManagedServices\$1CloudFormationAdminPolicy2 + Questa politica rappresenta le autorizzazioni concesse a. `AWSManagedServicesCloudFormationAdminRole` Tu e i tuoi partner utilizzate questa politica per concedere l'accesso a un ruolo esistente nell'account e consentire a tale ruolo di avviare e aggiornare gli CloudFormation stack nell'account. Ciò potrebbe richiedere aggiornamenti aggiuntivi della politica di controllo dei servizi AMS (SCP) per consentire ad altre entità IAM di avviare CloudFormation stack. + Account di landing zone con account singolo AMS Advanced (SALZ) + AWSManagedServices\$1CloudFormationAdminPolicy1 + AWSManagedServices\$1CloudFormationAdminPolicy2 + cdk-legacy-mode-s3 accessi [politica in linea] + AWS ReadOnlyAccess politica `AWSManagedServicesUpdateRole`: Questo ruolo garantisce un accesso limitato al servizio downstream AWS . APIs Il ruolo viene implementato con policy gestite che forniscono operazioni API mutanti e non mutanti, ma in generale limita le operazioni mutanti (ad esempioCreate/Delete/PUT) rispetto a determinati servizi come IAM, KMS, GuardDuty VPC, risorse e configurazione dell'infrastruttura AMS e così via. L'accesso a questo ruolo è gestito tramite il tuo provider SAML. Le politiche gestite che vengono implementate e associate al ruolo `AWSManagedServicesUpdateRole` sono: + Account applicativo AMS Advanced multi-account per la landing zone + AWSManagedServicesUpdateBasePolicy  + AWSManagedServicesUpdateDenyPolicy  + AWSManagedServicesUpdateDenyProvisioningPolicy  + AWSManagedServicesUpdateEC2E RDSPolicy  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitica + Account di landing zone AMS Advanced con account singolo + AWSManagedServicesUpdateBasePolicy  + AWSManagedServicesUpdateDenyProvisioningPolicy  + AWSManagedServicesUpdateEC2E RDSPolicy  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitica 1  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitica 2 Oltre a questi, al `AWSManagedServicesUpdateRole` ruolo di policy gestita è `ViewOnlyAccess` associata anche la policy AWS gestita. # Sicurezza e conformità La sicurezza e la conformità sono una responsabilità condivisa tra AMS Advanced e te, in qualità di nostro cliente. La modalità AMS Advanced Direct Change non modifica questa responsabilità condivisa. ## Sicurezza in modalità Direct Change AMS Advanced offre un valore aggiunto con una landing zone prescrittiva, un sistema di gestione delle modifiche e una gestione degli accessi. Quando si utilizza la modalità Direct Change, questo modello di responsabilità non cambia. Tuttavia, è necessario essere consapevoli dei rischi aggiuntivi. Il ruolo «Aggiornamento» della modalità Direct Change (vedi[Ruoli e politiche IAM in modalità Direct Change](dcm-get-started.md#dcm-gs-iam-roles-and-policies)) fornisce autorizzazioni elevate che consentono all'entità che vi ha accesso di apportare modifiche alle risorse di infrastruttura dei servizi supportati da AMS presenti nell'account. Con autorizzazioni elevate, esistono rischi diversi a seconda della risorsa, del servizio e delle azioni, specialmente in situazioni in cui viene apportata una modifica errata a causa di supervisione, errore o mancanza di aderenza al processo interno e al framework di controllo. In base agli standard tecnici AMS, sono stati identificati i seguenti rischi e vengono formulate le seguenti raccomandazioni. Informazioni dettagliate sugli standard tecnici AMS sono disponibili all'indirizzo AWS Artifact. Per accedervi AWS Artifact, contattate il vostro CSDM per ricevere istruzioni o consultate la sezione [Guida introduttiva](https://aws.amazon.com/artifact/getting-started). AWS Artifact **AMS-STD-001: etichettatura** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) **AMS-STD-002: Identity and Access Management (IAM)** | Standard | Si rompe | Rischi | Raccomandazioni | | --- | --- | --- | --- | | 4.7 Non devono essere consentite azioni che aggirano il processo di gestione delle modifiche (RFC), come l'avvio o l'arresto di un'istanza, la creazione di bucket S3 o istanze RDS e così via. Gli account in modalità sviluppatore e i servizi in modalità Self-Service Provisioned (SSPS) sono esentati a condizione che le azioni vengano eseguite entro i limiti del ruolo assegnato. | Sì. Lo scopo delle azioni self-service consente di eseguire azioni aggirando il sistema RFC AMS. | Il modello di accesso sicuro è un aspetto tecnico fondamentale di AMS e un utente IAM per l'accesso da console o programmatico elude questo controllo di accesso. L'accesso degli utenti IAM non è monitorato dalla gestione delle modifiche di AMS. L'accesso è registrato CloudTrail solo. | L'utente IAM deve disporre di un periodo di tempo limitato e concedere le autorizzazioni in base al privilegio minimo e. need-to-know | **AMS-STD-003: Sicurezza di rete** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) **AMS-STD-007: Registrazione** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) Collabora con il tuo team interno di autorizzazione e autenticazione per controllare di conseguenza le autorizzazioni relative ai ruoli della modalità Direct Change. ## Conformità in modalità Direct Change La modalità Direct Change è compatibile con i carichi di lavoro di produzione e non di produzione. È responsabilità dell'utente garantire il rispetto di tutti gli standard di conformità (ad esempio, PHI, HIPAA, PCI) e garantire che l'uso della modalità Direct Change sia conforme ai framework e agli standard di controllo interni. # Gestione delle modifiche in modalità Direct Change La gestione delle modifiche è il processo utilizzato da AMS Advanced per implementare le richieste di modifica. Una richiesta di modifica (RFC) è una richiesta creata dall'utente o da AMS Advanced tramite l'interfaccia AMS Advanced per apportare una modifica all'ambiente gestito e include un ID di tipo di modifica (CT) AMS Advanced per una particolare operazione. Per ulteriori informazioni, consulta [Gestione delle modifiche](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-what-is.html). **Nota** La modalità Direct Change non rimuove la gestione delle RFCs modifiche di AMS; hai comunque pieno accesso ad AMS RFCs con DCM. La modalità AMS Direct Change (DCM) estende la gestione delle modifiche di AMS Advanced fornendo AWS l'accesso nativo agli account AMS Advanced Plus e Premium per fornire e aggiornare AWS le risorse. Gli utenti a cui è stata concessa l'autorizzazione in modalità Direct Change tramite i ruoli IAM possono utilizzare l'accesso AWS API nativo per fornire e apportare modifiche alle risorse nei propri account AMS Advanced. Gli utenti possono comunque utilizzare la gestione delle modifiche di AMS Advanced RFCs utilizzando gli stessi ruoli IAM. In entrambi i casi, le risorse e le relative modifiche sono pienamente supportate da AMS, tra cui monitoraggio, patch, backup e gestione della risposta agli incidenti. Gli utenti che non hanno il ruolo appropriato in questi account devono utilizzare il processo RFC di AMS Advanced change management per apportare modifiche. ## Casi d'uso della gestione delle modifiche Per motivi di sicurezza, alcune modifiche in AMS Advanced possono essere apportate solo tramite il processo RFC (Change Management Request for Change). `AWSManagedServicesCloudFormationAdminRole`È limitato alle azioni intraprese tramite CloudFormation (CFN). Per ulteriori informazioni su come creare pile tramite DCM, consulta [Creazione di pile utilizzando la modalità Direct](https://docs.aws.amazon.com/managedservices/latest/userguide/dcm-creating-stacks.html) Change. `AWSManagedServicesUpdateRole`È limitato alle seguenti azioni. *[Ad esempio, le procedure dettagliate per ogni tipo di modifica, tra cui Gestione \$1 Account gestito \$1 Modalità Direct Change \$1 Abilita (ct-3rd4781c2nnhp), consulta la sezione «Informazioni aggiuntive» per il tipo di modifica pertinente nella sezione AMS Advanced Change Type Reference Change Type Reference Change Types by Classification.](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html)* [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/dcm-change-mgmt.html) # Creazione di pile utilizzando la modalità Direct Change Per consentire la gestione dello stack da parte di CloudFormation AMS`AWSManagedServicesCloudFormationAdminRole`, sono necessari due requisiti per avviare gli stack: + Il modello deve contenere un. `AmsStackTransform` + Il nome dello stack deve iniziare con il prefisso `stack-` seguito da una stringa alfanumerica di 17 caratteri. **Nota** Per utilizzare correttamente lo`AmsStackTransform`, devi riconoscere che il tuo modello di stack contiene la `CAPABILITY_AUTO_EXPAND` funzionalità in order for CloudFormation (CFN) di creare o aggiornare lo stack. Puoi farlo passandolo `CAPABILITY_AUTO_EXPAND` come parte della tua richiesta create-stack. CFN rifiuta la richiesta se questa funzionalità non viene riconosciuta quando viene inclusa nel `AmsStackTransform` modello. La console CFN ti assicura di passare questa funzionalità se hai la trasformazione nel tuo modello, ma questa può essere ignorata quando interagisci con CFN tramite loro. APIs Devi passare questa funzionalità ogni volta che utilizzi le seguenti chiamate API CFN: [CreateChangeSet](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateChangeSet.html) [ CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html#API_CreateStack_RequestParameters) [UpdateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStack.html) [Quando si crea o si aggiorna uno stack con DCM, sullo stack CTs vengono eseguite le stesse convalide e potenziamenti di CFN Ingest e Stack Update. Per maggiori informazioni, consulta le Linee guida per l'inserimento, le migliori pratiche e le limitazioni.CloudFormation](https://docs.aws.amazon.com/managedservices/latest/appguide/cfn-author-templates.html) L'eccezione è che i gruppi di sicurezza predefiniti di AMS (SGs) non verranno collegati a nessuna istanza autonoma o EC2 EC2 istanza nei gruppi di Auto Scaling (). ASGs Quando create il CloudFormation modello, con EC2 istanze autonome oppure, potete allegare quello predefinito. ASGs SGs **Nota** I ruoli IAM possono ora essere creati e gestiti con. `AWSManagedServicesCloudFormationAdminRole` L'impostazione predefinita SGs di AMS prevede regole di ingresso e uscita che consentono alle istanze di avviarsi correttamente e di accedervi successivamente tramite SSH o RDP da parte delle operazioni AMS e dell'utente. Se ritieni che i gruppi di sicurezza predefiniti di AMS siano troppo permissivi, puoi crearne di personalizzati SGs con regole più restrittive e collegarli all'istanza, purché ciò consenta comunque a te e alle operazioni AMS di accedere all'istanza durante gli incidenti. I gruppi di sicurezza predefiniti di AMS sono i seguenti: + SentinelDefaultSecurityGroupPrivateOnly: È possibile accedere nel modello CFN tramite questo parametro SSM `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnly` + SentinelDefaultSecurityGroupPrivateOnlyEgressAll: È possibile accedere nel modello CFN tramite questo parametro SSM `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnlyEgressAll` ## Trasforma AMS Aggiungi una `Transform` dichiarazione al tuo CloudFormation modello. Questo aggiunge una CloudFormation macro che convalida e registra lo stack con AMS al momento del lancio. **Esempio JSON** ``` "Transform": {     "Name": "AmsStackTransform",     "Parameters": {       "StackId": {"Ref" : "AWS::StackId"}     }   } ``` **Esempio YAML** ``` Transform: Name: AmsStackTransform Parameters: StackId: !Ref 'AWS::StackId' ``` Aggiungi l'`Transform`istruzione anche quando aggiorni il modello di uno stack esistente. **Esempio JSON** ``` {   "AWSTemplateFormatVersion": "2010-09-09",   "Description" : "Create an SNS Topic",    "Transform": { "Name": "AmsStackTransform", "Parameters": { "StackId": {"Ref" : "AWS::StackId"} } },   "Parameters": {     "TopicName": {       "Type": "String",       "Default": "HelloWorldTopic"     }   },   "Resources": {     "SnsTopic": {       "Type": "AWS::SNS::Topic",       "Properties": {         "TopicName": {"Ref": "TopicName"}       }     }   } } ``` **Esempio YAML** ``` AWSTemplateFormatVersion: '2010-09-09' Description: Create an SNS Topic Transform: Name: AmsStackTransform Parameters: StackId: !Ref 'AWS::StackId' Parameters: TopicName: Type: String Default: HelloWorldTopic Resources: SnsTopic: Type: AWS::SNS::Topic Properties: TopicName: !Ref TopicName ``` ## Nome stack Il nome dello stack deve iniziare con il prefisso `stack-` seguito da una stringa alfanumerica di 17 caratteri. Ciò serve a mantenere la compatibilità con altri sistemi AMS che operano sullo stack AMS. IDs  Di seguito sono riportati alcuni esempi di modi per generare stack compatibili: IDs Bash: ``` echo "stack-$(env LC_CTYPE=C tr -dc 'a-z0-9' < /dev/urandom | head -c 17)" ``` Python: ``` import string import random 'stack-' + ''.join(random.choices(string.ascii_lowercase + string.digits, k=17)) ``` Powershell: ``` "stack-" + ( -join ((0x30..0x39) + ( 0x61..0x7A) | Get-Random -Count 17 | % {[char]$_}) ) ``` # Casi d'uso della modalità Direct Change Di seguito sono riportati i casi d'uso della modalità Direct Change: **Fornitura e gestione delle risorse tramite CloudFormation** + Integra CloudFormation gli strumenti e i processi esistenti. **Gestione e aggiornamenti continui delle risorse** + Piccole modifiche atomiche a basso rischio. + Modifiche che altrimenti verrebbero eseguite tramite una RFC manuale o automatizzata. + Strumenti che richiedono l'accesso nativo all' AWS API. + Il ruolo DCM può essere utilizzato se sei in fase di migrazione. I team di migrazione sfruttano le autorizzazioni del DCM per creare o modificare gli stack. + I ruoli DCM possono essere utilizzati nella CI/CD pipeline per crearne di nuovi AMIs, creare attività Amazon ECS e così via.