As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Modo de mudança direta no AMS **Topics** + [Introdução ao modo Direct Change](dcm-get-started.md) + [Segurança e conformidade](dcm-security-n-compliance.md) + [Gerenciamento de alterações no modo Direct Change](dcm-change-mgmt.md) + [Criação de pilhas usando o modo Direct Change](dcm-creating-stacks.md) + [Casos de uso do Modo de Mudança Direta](dcm-use-cases.md) O modo Direct Change (DCM) do AWS Managed Services (AMS) amplia o gerenciamento de alterações do AMS Advanced ao fornecer AWS acesso nativo às contas AMS Advanced Plus e Premium para provisionar e atualizar AWS recursos. Com o DCM, você tem a opção de usar a AWS API nativa (console ou CLI/SDK) ou solicitações de mudança do AMS Advanced Change (RFCs) e, em ambos os casos, os recursos e as alterações neles são totalmente suportados pelo AMS, incluindo monitoramento, patch, backup e gerenciamento de respostas a incidentes. Os recursos provisionados por meio do DCM são registrados no sistema de gerenciamento de conhecimento do serviço AMS (SKMS), associados ao domínio gerenciado do Active Directory pelo AMS (quando aplicável) e executam agentes de gerenciamento do AMS. Use as ferramentas existentes (por exemplo CloudFormation, AWS SDK e CDK) para desenvolver e implantar pilhas gerenciadas pelo AMS. CloudFormation **nota** O modo Direct Change não remove o gerenciamento de alterações do AMS RFCs. Você tem acesso total ao AMS RFCs com o DCM. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob) # Introdução ao modo Direct Change Comece verificando os pré-requisitos e, em seguida, enviando uma solicitação de alteração (RFC) em sua conta qualificada do AMS Advanced. 1. Confirme se a conta que você deseja usar com o DCM atende aos requisitos: + A conta é AMS Advanced Plus ou Premium. + A conta não tem o Service Catalog ativado. Atualmente, não oferecemos suporte à integração de contas no DCM e no Service Catalog ao mesmo tempo. Se você já está integrado ao Service Catalog, mas está interessado no DCM, discuta suas necessidades com seu gerente de prestação de serviços em nuvem (CSDM). Se você decidir mudar do Service Catalog para o DCM, fora do Service Catalog, para fazer isso, inclua a solicitação na solicitação de alteração abaixo. Para obter detalhes sobre o Service Catalog no AMS, consulte [AMS e Service Catalog](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html). 1. Envie uma solicitação de alteração (RFC) usando o Gerenciamento \$1 Conta gerenciada \$1 Modo de alteração direta \$1 Ativar tipo de alteração (ct-3rd4781c2nnhp). Para ver um exemplo de apresentação, consulte [Modo de mudança direta \$1](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html) Ativar. Depois que a CT é processada, o IAM predefinido funciona `AWSManagedServicesCloudFormationAdminRole` e `AWSManagedServicesUpdateRole` é provisionado na conta especificada. 1. Atribua a função apropriada aos usuários que precisam de acesso ao DCM usando seu processo interno de federação. **nota** Você pode especificar qualquer número de SAMLIdentity provedores, AWS serviços e entidades do IAM (funções, usuários etc.) para assumir as funções. Você deve fornecer pelo menos um:`SAMLIdentityProviderARNs`,`IAMEntityARNs`, ou`AWSServicePrincipals`. Para obter mais informações, consulte o departamento de IAM da sua empresa ou o arquiteto de nuvem (CA) do AMS. ## Funções e políticas do IAM do modo Direct Change Quando o modo Direct Change é ativado em uma conta, essas novas entidades do IAM são implantadas: `AWSManagedServicesCloudFormationAdminRole`: essa função concede acesso ao CloudFormation console, cria e atualiza CloudFormation pilhas, visualiza relatórios de deriva e cria e executa. CloudFormation ChangeSets O acesso a essa função é gerenciado por meio do seu provedor de SAML. As políticas gerenciadas que são implantadas e anexadas à função `AWSManagedServicesCloudFormationAdminRole` são: + Conta do aplicativo AMS Advanced multi-account landing zone (MALZ) + AWSManagedServices\$1CloudFormationAdminPolicy1 + AWSManagedServices\$1CloudFormationAdminPolicy2 + Essa política representa as permissões concedidas ao`AWSManagedServicesCloudFormationAdminRole`. Você e seus parceiros usam essa política para conceder acesso a uma função existente na conta e permitir que essa função lance e atualize CloudFormation pilhas na conta. Isso pode exigir atualizações adicionais da política de controle de serviço (SCP) do AMS para permitir que outras entidades do IAM iniciem CloudFormation pilhas. + Conta AMS Advanced single-account landing zone (SALZ) + AWSManagedServices\$1CloudFormationAdminPolicy1 + AWSManagedServices\$1CloudFormationAdminPolicy2 + cdk-legacy-mode-s3 acessos [política em linha] + AWS ReadOnlyAccess política `AWSManagedServicesUpdateRole`: essa função concede acesso restrito ao AWS serviço APIs downstream. A função é implantada com políticas gerenciadas que fornecem operações de API mutantes e não mutantes, mas, em geral, restringe as operações mutantes (comoCreate/Delete/PUT) em relação a determinados serviços, como IAM, KMS, GuardDuty VPC, recursos e configuração de infraestrutura do AMS e assim por diante. O acesso a essa função é gerenciado por meio do seu provedor de SAML. As políticas gerenciadas que são implantadas e anexadas à função `AWSManagedServicesUpdateRole` são: + Conta de aplicativo AMS Advanced com várias contas landing zone + AWSManagedServicesUpdateBasePolicy  + AWSManagedServicesUpdateDenyPolicy  + AWSManagedServicesUpdateDenyProvisioningPolicy  + AWSManagedServicesUpdateEC2E RDSPolicy  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolítica + Conta de landing zone de conta única AMS Advanced + AWSManagedServicesUpdateBasePolicy  + AWSManagedServicesUpdateDenyProvisioningPolicy  + AWSManagedServicesUpdateEC2E RDSPolicy  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolítica 1  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolítica 2 Além disso, a `AWSManagedServicesUpdateRole` função de política gerenciada também tem a política AWS `ViewOnlyAccess` gerenciada anexada a ela. # Segurança e conformidade Segurança e conformidade são uma responsabilidade compartilhada entre a AMS Advanced e você, como nosso cliente. O modo AMS Advanced Direct Change não altera essa responsabilidade compartilhada. ## Segurança no modo Direct Change O AMS Advanced oferece valor adicional com uma landing zone prescritiva, um sistema de gerenciamento de mudanças e gerenciamento de acesso. Ao usar o modo Direct Change, esse modelo de responsabilidade não muda. No entanto, você deve estar ciente dos riscos adicionais. A função “Atualização” do Modo de Alteração Direta (consulte[Funções e políticas do IAM do modo Direct Change](dcm-get-started.md#dcm-gs-iam-roles-and-policies)) fornece permissões elevadas, permitindo que a entidade com acesso a ela faça alterações nos recursos de infraestrutura dos serviços suportados pela AMS em sua conta. Com permissões elevadas, existem riscos variados, dependendo do recurso, do serviço e das ações, especialmente em situações em que uma alteração incorreta é feita devido a supervisão, erro ou falta de adesão ao processo interno e à estrutura de controle. De acordo com os Padrões Técnicos da AMS, os seguintes riscos foram identificados e as recomendações são feitas da seguinte forma. Informações detalhadas sobre as Normas Técnicas da AMS estão disponíveis em AWS Artifact. Para acessar AWS Artifact, entre em contato com seu CSDM para obter instruções ou acesse [Introdução](https://aws.amazon.com/artifact/getting-started) ao. AWS Artifact **AMS-STD-001: Marcação** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) **AMS-STD-002: Identity and Access Management (IAM)** | Padrões | Isso quebra? | Riscos | Recomendações | | --- | --- | --- | --- | | 4.7 Ações que ignoram o processo de gerenciamento de mudanças (RFC) não devem ser permitidas, como iniciar ou interromper uma instância, criar buckets do S3 ou instâncias do RDS e assim por diante. As contas do modo Desenvolvedor e os serviços do modo Self-Service Provisioned (SSPS) estão isentos, desde que as ações sejam executadas dentro dos limites da função atribuída. | Sim. O objetivo das ações de autoatendimento permite que você execute ações ignorando o sistema AMS RFC. | O modelo de acesso seguro é uma faceta técnica central do AMS e um usuário do IAM para console ou acesso programático contorna esse controle de acesso. O acesso dos usuários do IAM não é monitorado pelo gerenciamento de alterações do AMS. O acesso está CloudTrail somente logado. | O usuário do IAM deve ter um limite de tempo e receber permissões com base no privilégio mínimo e. need-to-know | **AMS-STD-003: Segurança de rede** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) **AMS-STD-007: Registro** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/onboardingguide/dcm-security-n-compliance.html) Trabalhe com sua equipe interna de autorização e autenticação para controlar adequadamente as permissões para as funções do modo Direct Change. ## Conformidade no modo Direct Change O modo Direct Change é compatível com cargas de trabalho de produção e não produtivas. É sua responsabilidade garantir a adesão a quaisquer padrões de conformidade (por exemplo, PHI, HIPAA, PCI) e garantir que o uso do modo Direct Change esteja em conformidade com suas estruturas e padrões de controle interno. # Gerenciamento de alterações no modo Direct Change O gerenciamento de mudanças é o processo que o AMS Advanced usa para implementar solicitações de mudança. Uma solicitação de alteração (RFC) é uma solicitação criada por você ou pelo AMS Advanced por meio da interface do AMS Advanced para fazer uma alteração em seu ambiente gerenciado e inclui uma ID do tipo de alteração (CT) do AMS Advanced para uma operação específica. Para obter mais informações, consulte [Gerenciamento de mudanças](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-what-is.html). **nota** O modo Direct Change não remove o gerenciamento de alterações do AMS RFCs, você ainda tem acesso total ao AMS RFCs com o DCM. O modo AMS Direct Change (DCM) estende o gerenciamento avançado de alterações do AMS, fornecendo AWS acesso nativo às contas AMS Advanced Plus e Premium para provisionar e atualizar AWS recursos. Os usuários que receberam a permissão do modo Direct Change por meio das funções do IAM podem usar o acesso nativo à AWS API para provisionar e fazer alterações nos recursos em suas contas do AMS Advanced. Os usuários ainda podem usar o gerenciamento avançado de alterações do AMS RFCs usando as mesmas funções do IAM. Em ambos os casos, os recursos e as alterações neles são totalmente suportados pelo AMS, incluindo monitoramento, patches, backup e gerenciamento de respostas a incidentes. Os usuários que não têm a função apropriada nessas contas devem usar o processo RFC de gerenciamento de alterações avançado do AMS para fazer alterações. ## Casos de uso do gerenciamento de mudanças Por motivos de segurança, algumas alterações no AMS Advanced só podem ser feitas por meio do processo de solicitação de mudança (RFC) de gerenciamento de alterações. O `AWSManagedServicesCloudFormationAdminRole` é restrito às ações realizadas por meio do CloudFormation (CFN). Para saber mais sobre como criar pilhas por meio do DCM, consulte [Criação de pilhas usando o modo Direct Change](https://docs.aws.amazon.com/managedservices/latest/userguide/dcm-creating-stacks.html). O `AWSManagedServicesUpdateRole` é restrito para as seguintes ações. *[Por exemplo, orientações para cada tipo de alteração, incluindo o tipo de alteração Gerenciamento \$1 Conta gerenciada \$1 Modo de alteração direta \$1 Ativar (ct-3rd4781c2nnhp), consulte a seção “Informações adicionais” para o tipo de alteração relevante na seção Tipos de alteração de referência do tipo de alteração do AMS Advanced por classificação.](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html)* [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/onboardingguide/dcm-change-mgmt.html) # Criação de pilhas usando o modo Direct Change Há dois requisitos ao iniciar pilhas CloudFormation usando o`AWSManagedServicesCloudFormationAdminRole`, para que a pilha seja gerenciada pelo AMS: + O modelo deve conter um`AmsStackTransform`. + O nome da pilha deve começar com o prefixo `stack-` seguido por uma sequência alfanumérica de 17 caracteres. **nota** Para usar o com sucesso`AmsStackTransform`, você deve reconhecer que seu modelo de pilha contém a `CAPABILITY_AUTO_EXPAND` capacidade para que CloudFormation (CFN) crie ou atualize a pilha. Você faz isso passando o `CAPABILITY_AUTO_EXPAND` como parte de sua solicitação de criação da pilha. O CFN rejeita a solicitação se esse recurso não for reconhecido quando incluído no modelo. `AmsStackTransform` O console CFN garante que você transmita esse recurso se tiver a transformação em seu modelo, mas isso pode passar despercebido quando você estiver interagindo com o CFN por meio deles. APIs Você deve transmitir esse recurso sempre que usar as seguintes chamadas de API CFN: [CreateChangeSet](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateChangeSet.html) [ CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html#API_CreateStack_RequestParameters) [UpdateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStack.html) [Ao criar ou atualizar uma pilha com o DCM, as mesmas validações e aprimoramentos do CFN Ingest e do Stack Update CTs são realizados na pilha. Para obter mais informações, consulte CloudFormation Diretrizes, melhores práticas e limitações de ingestão.](https://docs.aws.amazon.com/managedservices/latest/appguide/cfn-author-templates.html) A exceção é que os grupos de segurança padrão do AMS (SGs) não serão anexados a nenhuma EC2 instância autônoma ou EC2 instância em grupos de Auto Scaling (). ASGs Ao criar seu CloudFormation modelo, com EC2 instâncias autônomas ou ASGs, você pode anexar o padrão. SGs **nota** Agora, as funções do IAM podem ser criadas e gerenciadas com `AWSManagedServicesCloudFormationAdminRole` o. O padrão do AMS SGs tem regras de entrada e saída que permitem que as instâncias sejam iniciadas com êxito e sejam acessadas posteriormente por meio de SSH ou RDP pelas operações do AMS e por você. Se você achar que os grupos de segurança padrão do AMS são muito permissivos, você pode criar seus próprios SGs com regras mais restritivas e anexá-los à sua instância, desde que isso ainda permita que você e as operações do AMS acessem a instância durante incidentes. Os grupos de segurança padrão do AMS são os seguintes: + SentinelDefaultSecurityGroupPrivateOnly: Pode ser acessado no modelo CFN por meio desse parâmetro SSM `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnly` + SentinelDefaultSecurityGroupPrivateOnlyEgressAll: Pode ser acessado no modelo CFN por meio desse parâmetro SSM `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnlyEgressAll` ## Transformação AMS Adicione uma `Transform` declaração ao seu CloudFormation modelo. Isso adiciona uma CloudFormation macro que valida e registra a pilha no AMS no momento da inicialização. **Exemplo de JSON** ``` "Transform": {     "Name": "AmsStackTransform",     "Parameters": {       "StackId": {"Ref" : "AWS::StackId"}     }   } ``` Exemplo de **YAML** ``` Transform: Name: AmsStackTransform Parameters: StackId: !Ref 'AWS::StackId' ``` Adicione também a `Transform` instrução ao atualizar o modelo de uma pilha existente. **Exemplo de JSON** ``` {   "AWSTemplateFormatVersion": "2010-09-09",   "Description" : "Create an SNS Topic",    "Transform": { "Name": "AmsStackTransform", "Parameters": { "StackId": {"Ref" : "AWS::StackId"} } },   "Parameters": {     "TopicName": {       "Type": "String",       "Default": "HelloWorldTopic"     }   },   "Resources": {     "SnsTopic": {       "Type": "AWS::SNS::Topic",       "Properties": {         "TopicName": {"Ref": "TopicName"}       }     }   } } ``` Exemplo de **YAML** ``` AWSTemplateFormatVersion: '2010-09-09' Description: Create an SNS Topic Transform: Name: AmsStackTransform Parameters: StackId: !Ref 'AWS::StackId' Parameters: TopicName: Type: String Default: HelloWorldTopic Resources: SnsTopic: Type: AWS::SNS::Topic Properties: TopicName: !Ref TopicName ``` ## Nome da pilha O nome da pilha deve começar com o prefixo `stack-` seguido por uma sequência alfanumérica de 17 caracteres. Isso é para manter a compatibilidade com outros sistemas AMS que operam na pilha IDs AMS.  Veja a seguir exemplos de maneiras de gerar uma pilha IDs compatível: Bash: ``` echo "stack-$(env LC_CTYPE=C tr -dc 'a-z0-9' < /dev/urandom | head -c 17)" ``` Python: ``` import string import random 'stack-' + ''.join(random.choices(string.ascii_lowercase + string.digits, k=17)) ``` Powershell: ``` "stack-" + ( -join ((0x30..0x39) + ( 0x61..0x7A) | Get-Random -Count 17 | % {[char]$_}) ) ``` # Casos de uso do Modo de Mudança Direta A seguir estão os casos de uso do Modo de Alteração Direta: **Provisão e gerenciamento de recursos por meio de CloudFormation** + Integre CloudFormation ferramentas e processos existentes. **Gerenciamento contínuo de recursos e atualizações** + Pequenas mudanças atômicas com baixo risco. + Alterações que, de outra forma, seriam executadas por meio de um RFC manual ou automatizado. + Ferramentas que exigem acesso nativo à AWS API. + A função DCM pode ser utilizada se você estiver no estágio de migração. As equipes de migração utilizam as permissões no DCM para criar ou modificar pilhas. + As funções do DCM podem ser usadas no CI/CD pipeline para criar novas AMIs tarefas do Amazon ECS e assim por diante.