本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 安全性和合规性
<a name="dcm-security-n-compliance"></a>

安全与合规是 AMS Advanced 和您作为我们的客户的共同责任。AMS Advanced Direct Change 模式不会更改此项共同责任。

## 直接更改模式下的安全性
<a name="dcm-security"></a>

AMS Advanced 通过规范性的着陆区、变更管理系统和访问管理提供了额外的价值。使用 “直接变更” 模式时，此责任模型不会改变。但是，您应该注意其他风险。

直接更改模式 “更新” 角色（参见[直接更改模式 IAM 角色和策略](dcm-get-started.md#dcm-gs-iam-roles-and-policies)）提供了提升的权限，允许有权访问该角色的实体更改您账户中由 AMS 支持的服务的基础设施资源。权限提升后，会存在不同的风险，具体取决于资源、服务和操作，尤其是在由于疏忽、错误或缺乏对内部流程和控制框架的遵守而导致错误更改的情况下。

根据AMS技术标准，已经确定了以下风险并提出了以下建议。有关 AMS 技术标准的详细信息可通过以下网址获取 AWS Artifact。要进行访问 AWS Artifact，请联系您的 CSDM 获取说明或前往[入门](https://aws.amazon.com/artifact/getting-started)。 AWS Artifact

**AMS-STD-001：标记**

<a name="AMS-STD-001"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/dcm-security-n-compliance.html)

**AMS-STD-002：身份和访问管理 (IAM) Access Management**


| 标准 | 它坏了吗 | 风险 | 建议 | 
| --- | --- | --- | --- | 
| 4.7 不得允许绕过变更管理流程 (RFC) 的操作，例如启动或停止实例、创建 S3 存储桶或 RDS 实例等。只要在分配的角色范围内执行操作，开发者模式账户和自助服务预置模式服务 (SSP) 就可以获得豁免。 | 是。自助操作的目的允许您绕过 AMS RFC 系统执行操作。 | 安全访问模式是 AMS 的核心技术方面，用于控制台或编程访问的 IAM 用户可以规避这种访问控制。AMS 变更管理不监控 IAM 用户的访问权限。访问权限 CloudTrail 仅限登录。 | IAM 用户应有时间限制，并根据最低权限向其授予权限。 need-to-know | 

**AMS-STD-003：网络安全**

<a name="AMS-STD-003"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/dcm-security-n-compliance.html)

**AMS-STD-007：日志记录**

<a name="AMS-STD-007"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/dcm-security-n-compliance.html)

与您的内部授权和身份验证团队合作，相应地控制直接更改模式角色的权限。

## 直接更改模式下的合规性
<a name="dcm-compliance"></a>

直接更改模式与生产和非生产工作负载兼容。您有责任确保遵守任何合规标准（例如 PHI、HIPAA、PCI），并确保直接变更模式的使用符合您的内部控制框架和标准。