本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 直接更改模式入门
<a name="dcm-get-started"></a>

首先检查先决条件，然后在符合条件的 AMS Advanced 账户中提交变更申请 (RFC)。

1. 确认您要在 DCM 中使用的账户是否符合要求：
   + 该账户是 AMS 高级增强版或高级版。
   + 该账户未启用 Service Catalog。我们目前不支持同时登录 DCM 和 Service Catalog 的账号。如果您已加入 Service Catalog 但对 DCM 感兴趣，请与您的云服务交付经理 (CSDM) 讨论您的需求。如果您决定从 Service Catalog 切换到 DCM，请在下面的变更请求中加入询问。有关 AMS 中的服务目录的详细信息，请参阅 [AMS 和服务目录](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html)。

1. 使用管理 \$1 托管账户 \$1 直接更改模式 \$1 启用更改类型 (ct-3rd4781c2nnhp) 提交变更申请 (RFC)。有关演练示例，请参阅[直接更改模式 \$1 启用](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html)。

   处理 CT 后，将在指定账户中配置预定义`AWSManagedServicesUpdateRole`的 IAM 角色`AWSManagedServicesCloudFormationAdminRole`和。

1. 使用您的内部联合流程为需要 DCM 访问权限的用户分配相应的角色。

**注意**  
您可以指定任意数量的 SAMLIdentity提供商、 AWS 服务和 IAM 实体（角色、用户等）来担任这些角色。您必须至少提供一个：`SAMLIdentityProviderARNs``IAMEntityARNs`、或`AWSServicePrincipals`。有关更多信息，请咨询贵公司的 IAM 部门或 AMS 云架构师 (CA)。

## 直接更改模式 IAM 角色和策略
<a name="dcm-gs-iam-roles-and-policies"></a>

在账户中启用直接更改模式后，将部署以下新的 IAM 实体：

`AWSManagedServicesCloudFormationAdminRole`：此角色授予访问 CloudFormation 控制台、创建和更新 CloudFormation 堆栈、查看偏差报告以及创建和执行 CloudFormation ChangeSets的权限。此角色的访问权限由您的 SAML 提供商管理。

部署并附加到角色的托管策略`AWSManagedServicesCloudFormationAdminRole`有：
+ AMS 高级多账号 landing zone (MALZ) 应用程序账户
  + AWSManagedServices\$1CloudFormationAdminPolicy1
  + AWSManagedServices\$1CloudFormationAdminPolicy2
    + 此策略代表授予的权限`AWSManagedServicesCloudFormationAdminRole`。您和合作伙伴使用此政策授予对账户中现有角色的访问权限，并允许该角色启动和更新账户中的 CloudFormation 堆栈。这可能需要额外的 AMS 服务控制策略 (SCP) 更新，以允许其他 IAM 实体启动 CloudFormation 堆栈。
+ AMS 高级单账号 landing zone (SALZ) 账户
  + AWSManagedServices\$1CloudFormationAdminPolicy1
  + AWSManagedServices\$1CloudFormationAdminPolicy2
  + cdk-legacy-mode-s3 次访问 [内联政策]
  + AWS ReadOnlyAccess 政策

`AWSManagedServicesUpdateRole`：此角色授予对下游 AWS 服务的受限访问权限 APIs。该角色采用托管策略部署，这些策略提供变更和非变更的 API 操作，但通常限制针对某些服务（例如 IAM、KMS、GuardDuty VPC、AMS 基础设施资源和配置等Create/Delete/PUT）的变更操作（例如）。 此角色的访问权限由您的 SAML 提供商管理。

部署并附加到角色的托管策略`AWSManagedServicesUpdateRole`有：
+ AMS 高级多账号 landing zone 应用程序账号
  + AWSManagedServicesUpdateBasePolicy 
  + AWSManagedServicesUpdateDenyPolicy 
  + AWSManagedServicesUpdateDenyProvisioningPolicy 
  + AWSManagedServicesUpdateEC2而且 RDSPolicy 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfra政策
+ AMS 高级单账号 landing zone 账号
  + AWSManagedServicesUpdateBasePolicy 
  + AWSManagedServicesUpdateDenyProvisioningPolicy 
  + AWSManagedServicesUpdateEC2而且 RDSPolicy 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfra政策 1 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfra政策 2

除此之外，托管策略`AWSManagedServicesUpdateRole`角色还`ViewOnlyAccess`附加了 AWS 托管策略。