本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# RFC 模式
<a name="rfc-mode"></a>

RFC 模式是 AMS Advanced 操作計劃客戶的預設模式。其中包括變更管理系統，其中包含變更或 RFCs的請求，以及變更類型的目錄，可用來請求對帳戶新增或變更所需的變更。此變更管理系統提供安全層級，以限制誰可以變更您的帳戶。

如需 AMS 進階變更類型的詳細資訊，請參閱[什麼是 AMS 變更類型？](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)。

如需加入 AMS Advanced 的詳細資訊，請參閱 [AWS Managed Services 加入簡介](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/index.html)。

如需變更類型範例演練，請參閱 *AMS 進階變更類型參考依分類*[變更](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html)類型一節中相關變更類型的「其他資訊」一節。

**注意**  
RFC 模式先前稱為「變更管理模式」或「標準 CM 模式」。

**Topics**
+ [了解 RFCs](ex-rfc-works.md)
+ [什麼是變更類型？](understanding-cts.md)
+ [針對 AMS 中的 RFC 錯誤進行故障診斷](rfc-troubleshoot.md)

# 了解 RFCs
<a name="ex-rfc-works"></a>

變更請求或 RFCs 會以兩倍的方式運作。首先，RFC 本身需要參數。這些是 `CreateRfc` API 中的選項。其次，RFC 的動作需要參數 （執行參數）。若要了解`CreateRfc`選項，請參閱 *AMS API 參考*的 [CreateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html) 一節。這些選項通常會出現在建立 RFC 頁面**的其他組態**區域中。

您可以使用 `CreateRfc` API、CLI 或使用 AMS `aws amscm create-rfc` 主控台建立 RFC 頁面來建立和提交 RFC。如需建立 RFC 的教學課程，請參閱 [建立 RFC](ex-rfc-create-col.md)。

**Topics**
+ [什麼是 RFCs？](what-r-rfcs.md)
+ [使用 AMS API/CLI 進行身分驗證](ex-rfc-authentication.md)
+ [了解 RFC 安全性審查](rfc-security.md)
+ [了解 RFC 變更類型分類](ex-rfc-csio.md)
+ [了解 RFC 動作和活動狀態](ex-rfc-action-state.md)
+ [了解 RFC 狀態碼](ex-rfc-status-codes.md)
+ [了解 RFC 更新 CTs和 CloudFormation 範本偏離偵測](ex-rfc-updates-and-dd.md)
+ [排程 RFCs](ex-rfc-scheduling.md)
+ [核准或拒絕 RFCs](ex-rfc-approvals.md)
+ [請求 RFC 限制執行期間](ex-rfc-restrict-execute.md)
+ [建立、複製、更新、尋找和取消 RFCs](ex-rfc-use-examples.md)
+ [搭配 RFCs 使用 AMS 主控台](ex-rfc-gui.md)
+ [了解常見的 RFC 參數](rfc-common-params.md)
+ [註冊 RFC 每日電子郵件](rfc-digest.md)

# 什麼是 RFCs？
<a name="what-r-rfcs"></a>

變更請求或 RFC 是您在 AMS 受管環境中進行變更的方式，或要求 AMS 代表您進行變更的方式。若要建立 RFC，您可以選擇 AMS 變更類型、選擇 RFC 參數 （例如排程），然後使用 AMS 主控台或 API 命令 [CreateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html) 和 [SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html) 提交請求。

RFC 包含兩個規格，一個用於 RFC 本身，另一個用於變更類型 (CT) 參數。在命令列，您可以使用內嵌 RFC 命令或 JSON 格式的標準 CreateRfc 範本，該範本是您填寫並提交的，以及您建立的 CT JSON 結構描述檔案 （根據 CT 參數）。CT 名稱是 CT 的非正式描述。CSIO （類別、子類別、項目、操作） 是 CT 的更正式描述。建立 RFC 時，只能指定 CT ID。

RFCs會經歷兩個關鍵階段：驗證和執行。

1. 在驗證階段中，AMS 會檢閱 RFC 請求的完整性和正確性。AMS 也會根據我們的安全[技術標準](rfc-security.md#rfc-security.title)來評估安全請求。AMS 會驗證請求的變更是否有效且可執行。

1. 在執行階段中，AMS 會嘗試對您的帳戶進行請求的變更。

AMS 透過自動化程序、手動程序或兩者的組合來處理這兩個階段。手動程序由 AMS Operations 團隊處理。如需詳細資訊，請參閱[自動化和手動 CTs](ug-automated-or-manual.md)。

AMS 提供三種處理請求的執行模式：
+ **(AMS 建議） 執行模式：自動化**。這些 CTs使用自動化進行 RFC 驗證和執行，這是實現業務成果的最快速方法。
+ **(AMS 建議） 執行模式：手動和指定：受管自動化**。這些 CTs使用自動化和手動程序的組合來進行 RFC 驗證和執行。如果自動化無法執行您請求的變更，則會將 RFC （透過自動路由或建立替代 RFC) 傳輸至 AMS 操作團隊以進行手動處理。提交這些 CTs可讓您更結構化地接收請求，並輔以 AMS 自動化，以改善處理和執行結果時間範圍。
+ **執行模式：手動和指定：需要檢閱**。透過 [ct-1e1xtak34nx76 管理請求的變更 \$1 其他 \$1 其他 \$1 更新 （需要檢閱）](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-update-review-required.html) 或 [ct-0xdawir96cy7k 管理 \$1 其他 \$1 其他 \$1 建立 （需要檢閱）](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-create-review-required.html)。這些 CTs 依賴手動處理進行驗證和執行。這些 CTs取決於變更請求的手動解釋。

當變更成功完成 （成功） 或失敗 （失敗） 時，AMS 會通知您。

**注意**  
如需 RFC 失敗疑難排解的資訊，請參閱 [針對 AMS 中的 RFC 錯誤進行故障診斷](rfc-troubleshoot.md)。

下圖說明您提交的 RFC 工作流程。

![\[客戶提交 RFC 的工作流程。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/requestForChange-v5g.png)


# 使用 AMS API/CLI 進行身分驗證
<a name="ex-rfc-authentication"></a>

使用 AMS API/CLI 時，您必須使用臨時憑證進行身分驗證。若要請求聯合身分使用者的臨時安全登入資料，請 cal [ GetFederationToken](https://docs.aws.amazon.com/STS/latest/UsingSTS/CreatingFedTokens.html)、[AssumeRole](https://docs.aws.amazon.com/STS/latest/UsingSTS/sts_delegate.html)、[AssumeRoleWithSAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithsaml) 或 [ AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithwebidentity) AWS 安全字符服務 (STS) APIs。

常見的選擇是 SAML。設定之後，您會將 引數新增至您呼叫的每個操作。例如：`aws --profile saml amscm list-change-type-categories`。

SAML 2.0 設定檔的捷徑是在每個 API/CLI 開始時使用 設定設定檔變數 `set AWS_DEFAULT_PROFILE=saml`（對於 Windows；對於 Linux，則為 `export AWS_DEFAULT_PROFILE=saml`)。如需設定 CLI 環境變數的詳細資訊，請參閱[設定 AWS 命令列界面、環境變數](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-environment)。

# 了解 RFC 安全性審查
<a name="rfc-security"></a>

AWS Managed Services (AMS) 變更管理核准程序可確保我們對您帳戶中所做的變更執行安全審查。

AMS 會根據 AMS 技術標準評估所有變更請求 (RFCs)。任何可能因為偏離技術標準而降低您帳戶安全性狀態的變更，都會經過安全性審查。在安全性審查期間，AMS 會強調相關風險，並且在高或極高安全性風險的情況下，您的授權安全人員會接受或拒絕 RFC。也會評估所有變更，以評估對 AMS 操作能力的負面影響。如果發現潛在的負面影響，則需要在 AMS 內進行額外的審核和核准。

## AMS 技術標準
<a name="rfc-sec-tech-standards"></a>

AMS 技術標準定義最低安全標準、組態和程序，以建立帳戶的基準安全性。AMS 和您都必須遵循這些標準。

任何可能因為偏離技術標準而降低您帳戶安全狀態的變更，都會經過風險接受程序，其中 AMS 會反白顯示相關風險，並由授權安全人員從您端接受或拒絕。也會評估所有此類變更，以評估是否對 AMS 操作帳戶的能力有任何負面影響，如果是，則需要在 AMS 內進行額外的審核和核准。

## RFC 客戶安全風險管理 (CSRM) 程序
<a name="rfc-sec-risk"></a>

當您的組織某人請求變更您的受管環境時，AMS 會檢閱變更，以判斷請求是否會因超出技術標準而使帳戶的安全狀態惡化。如果請求確實降低了帳戶的安全狀態，AMS 會向您的安全團隊聯絡人通知相關風險，並執行變更；或者，如果變更在環境中帶來高或非常高的安全風險，則 AMS 會以風險接受的形式向您的安全團隊聯絡人尋求明確核准 （接下來說明）。AMS 客戶風險接受程序旨在：
+ 確保明確識別風險並傳達給正確的擁有者
+ 將已識別的環境風險降至最低
+ 從了解組織風險設定檔的指定安全聯絡人取得並記錄核准
+ 降低已識別風險的持續營運開銷

## 如何存取技術標準和高風險或極高風險
<a name="rfc-sec-tech-standards-access"></a>

我們已提供 AMS 技術標準文件供您在 [https://console.aws.amazon.com/artifact/](https://console.aws.amazon.com/artifact/) 中做為報告參考。使用 AMS 技術標準文件，了解在提交變更請求 (RFC) 之前，變更是否需要您的授權安全聯絡人接受風險。

使用預設 AWS Managed Services (AMS) 技術標準」，以尋找技術標準報告。 AWS Artifact **** **AWSManagedServicesChangeManagementRole**

**注意**  
單一帳戶登陸區域中的 Customer\$1ReadOnly\$1Role 可存取 AMS 技術標準文件。在多帳戶登陸區域中，安全管理員使用的 AWSManagedServicesAdminRole 和應用程式團隊使用的 AWSManagedServicesChangeManagementRole 可用來存取文件。如果您的團隊使用自訂角色，請建立其他 \$1 其他 RFC 來請求存取權，我們將更新指定的自訂角色。

# 了解 RFC 變更類型分類
<a name="ex-rfc-csio"></a>

您在提交 RFC 時使用的變更類型分為兩個廣泛的類別：
+ **部署**：此分類用於建立 資源。
+  **管理**：此分類用於更新或刪除資源。Management ****類別也包含存取執行個體、加密或共用 AMIs，以及啟動、停止、重新啟動或刪除堆疊的變更類型。

# 了解 RFC 動作和活動狀態
<a name="ex-rfc-action-state"></a>

`RfcActionState` (API) / **活動狀態** （主控台） 可協助您了解 RFC 上人工介入或動作的狀態。主要用於手動 RFCs，`RfcActionState`可協助您了解您或 AMS 操作何時需要採取動作，並協助您了解 AMS 操作何時正在積極處理 RFC。這可提高 RFC 在其生命週期內所採取動作的透明度。

`RfcActionState` (API)/**活動狀態** （主控台） 定義：
+ **AwsOperatorAssigned**：AWS 運算子正在積極處理您的 RFC。
+ **AwsActionPending**：預期來自 AWS 的回應或動作。
+ **CustomerActionPending**：預期來自客戶的回應或動作。
+ **NoActionPending**：AWS 或客戶不需要採取任何動作。
+ **NotApplicable**：此狀態無法由 AWS 運算子或客戶設定，且僅用於在釋出此功能之前建立RFCs。

RFC 動作狀態會根據提交的變更類型是否需要手動檢閱，且排程是否設定為 **ASAP** 而有所不同。
+ RFC **ActionState** 在檢閱、核准和啟動具有延遲排程的手動變更類型期間變更：
  + 在您提交手動、排程的 RFC 之後，**ActionState** 會自動變更為 **AwsActionPending**，以指出操作員需要檢閱和核准 RFC。
  + 當運算子開始主動檢閱 RFC 時，**ActionState** 會變更為 **AwsOperatorAssigned**。
  + 當運算子核准您的 RFC 時，RFC 狀態會變更為已排程，而 **ActionState** 會自動變更為 **NoActionPending**。
  + 達到 RFC 的排程開始時間時，RFC 狀態會變更為 **InProgress**，而 **ActionState** 會自動變更為 **AwsActionPending**，表示需要指派運算子來檢閱 RFC。
  + 當運算子開始主動執行 RFC 時，他們會將 **ActionState** 變更為 **AwsOperatorAssigned**。
  + 完成後，運算子會關閉 RFC。這會自動將 **ActionState** 變更為 **NoActionPending**。  
![\[在檢閱、核准和啟動具有延遲排程的手動變更類型期間，RFC ActionState 變更\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/actionStateRfc.png)

**重要**  
您無法設定動作狀態。它們會根據 RFC 中的變更自動設定，或由 AMS 運算子手動設定。
如果您將通訊新增至 RFC，**ActionState** 會自動設定為 **AwsActionPending**。
建立 RFC 時，**ActionState** 會自動設定為 **NoActionPending**。
提交 RFC 時，**ActionState** 會自動設定為 **AwsActionPending**。
當 RFC 遭到拒絕、取消或完成且狀態為成功或失敗時，**ActionState** 會自動重設為 **NoActionPending**。
動作狀態會同時針對自動和手動 RFCs 啟用，但對於手動 RFCs 來說主要很重要，因為這類 RFCs通常需要通訊。

# 檢閱 RFC 動作狀態使用案例範例
<a name="ex-rfc-action-state-examples"></a>

**使用案例：手動 RFC 程序的可見性**
+ 提交手動 RFC 後，RFC 動作狀態會自動變更為 `AwsActionPending` ，表示操作員需要檢閱和核准 RFC。當運算子開始主動檢閱 RFC 時，RFC 動作狀態會變更為 `AwsOperatorAssigned`。
+ 請考慮已獲核准並排定且已準備好開始執行的手動 RFC。一旦 RFC 狀態變更為 `InProgress`，RFC 動作狀態會自動變更為 `AwsActionPending`。當運算子開始主動執行 RFC `AwsOperatorAssigned` 時，它會再次變更為 。
+ 手動 RFC 完成時 （關閉為「成功」或「失敗」)，RFC 動作狀態會變更為 `NoActionPending`，表示客戶或運算子不需要進一步的動作。

**使用案例：RFC 通訊**
+ 當手動 RFC 為 時`Pending Approval`，AMS Operator 可能需要您提供進一步的資訊。運算子會將通訊發佈至 RFC，並將 RFC 動作狀態變更為 `CustomerActionPending`。當您透過新增 RFC 通訊來回應時，RFC 動作狀態會自動變更為 `AwsActionPending`。
+ 當自動或手動 RFC 失敗時，您可以將通訊新增至 RFC 詳細資訊，向 AMS Operator 詢問 RFC 失敗的原因。新增通訊時，RFC 動作狀態會自動設定為 `AwsActionPending`。當 AMS 運算子挑選 RFC 以檢視您的通訊時，RFC 動作狀態會變更為 `AwsOperatorAssigned`。當運算子透過新增 RFC 通訊來回應時，RFC 動作狀態可能會設定為 `CustomerActionPending`，表示客戶預期有另一個回應，或 `NoActionPending`，表示不需要或預期客戶的任何回應。

# 了解 RFC 狀態碼
<a name="ex-rfc-status-codes"></a>

RFC 狀態碼可協助您追蹤請求。您可以在 CLI 輸出中的 RFC 執行期間觀察這些狀態碼，或在主控台中重新整理 RFC 清單頁面。

您也可以在 RFC 的詳細資訊頁面上查看 RFC 的代碼，這可能如下所示：

![\[RFC 狀態碼。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/guiRfcStatusCodes.png)


您可能會在清單中看到您未提交的 RFC。當 AMS 運算子使用僅限內部的 CT 時，他們會在 RFC 中提交它，並顯示在 RFC 清單中。如需詳細資訊，請參閱[僅限內部的變更類型](ct-internals.md)。

**重要**  
您可以請求 RFC 狀態變更的通知。如需詳細資訊，請參閱 [RFC 狀態變更通知](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html)。


**RFC 狀態碼**  

| 成功 | 失敗 | 
| --- | --- | 
|  編輯：RFC 已建立但未提交 PendingApproval / Submitted：已提交 RFC，系統正在判斷是否需要核准，並視需要取得該核准 AWS 核准/客戶核准：RFC 已核准。自動化 RFCs 由 AWS 核准，手動 RFCs 由 Operators 核准，有時由客戶核准 已排程：RFC 已通過語法和需求檢查，並排定執行 InProgress：RFC 正在執行中，請注意，佈建多個資源或具有長時間執行 UserData RFCs 需要更長的時間才能執行 已執行：已執行 RFC 成功/成功：RFC 已成功完成  |  拒絕：RFCs通常會因為驗證失敗而遭到拒絕；例如，指定了無法使用的資源，即子網路 已取消：RFCs通常會因為在設定的開始時間之前未通過驗證而取消 失敗：RFC 失敗；如需失敗原因，請參閱輸出中的 StatusReason，AMS 操作會自動建立故障票證並視需要與您通訊 | 

**注意**  
取消或拒絕RFCs 可以使用 [UpdateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRfc.html) 重新提交；另請參閱 [更新 RFCs](ex-update-rfcs.md)。

如果 RFC 通過所有必要條件 （例如，指定所有必要參數），狀態會變更為 `PendingApproval`（即使自動化 CTs 也需要核准，如果語法和參數檢查通過，也會自動發生）。如果未通過，狀態會變更為 `Rejected`。`StatusReason` 提供有關拒絕的資訊； `ExecutionOutput` 欄位提供有關核准和完成的資訊。錯誤代碼包括：
+ InvalidRfcStateException：RFC 處於不允許呼叫操作的狀態。例如，如果 RFC 已移至提交狀態，就無法再修改。
+ InvalidRfcScheduleException：已違反 StartTime、EndTime 或 TimeoutInMinutes 參數。
+ InternalServerError：系統發生問題。
+ InvalidArgumentException：未正確指定參數；例如，使用無法接受的值。
+ ResourceNotFoundException：找不到堆疊 ID 等值。

如果排定的請求開始和結束時間 （也稱為變更執行時段） 在核准變更之前發生，RFC 狀態會變更為 `Canceled`。如果變更獲得核准，RFC 狀態會變更為 `Scheduled`。ASAP RFCs 的變更執行時段是提交的時間加上 CT `ExpectedExecutionDuration`的值。

在變更執行時段到達前的任何時候，都可以修改或取消排定的變更 （在 CLI `RequestedStartTime`中使用 提交）。如果已修改排程變更，則必須重新提交。

當變更開始時間到達 （排程或 ASAP) 且核准完成後，狀態會變更為 `InProgress`且無法進行任何修改。如果在指定的變更執行時段內完成變更，狀態會變更為 `Success`。如果變更的任何部分失敗，或在變更執行時段結束時變更仍在進行中，狀態會變更為 `Failure`。

**注意**  
在 `InProgress`、 `Success`或 `Failure`變更狀態期間，無法修改或取消 RFC。

下圖說明從 CreateRFC 呼叫到解析的 RFC 狀態。

![\[從 CreateRFC 呼叫到解析的 RFC 狀態。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/RfcStateFlow2.png)


# 了解 RFC 更新 CTs和 CloudFormation 範本偏離偵測
<a name="ex-rfc-updates-and-dd"></a>

在 AMS 中佈建的資源使用修改過的 CloudFormation 範本。如果資源直接透過服務的 AWS 管理主控台變更參數，則該資源的 CloudFormation 建立記錄會變得不同步。如果發生這種情況，且您嘗試使用 AMS 更新變更類型來更新 AMS 中的資源，則 AMS 會參考原始資源組態，並可能重設變更的參數。此重設可能會損壞，因此如果偵測到任何額外的 AMS 組態變更，AMS 會不允許具有更新變更類型的 RFCs。

如需更新變更類型的清單，請使用 主控台篩選條件。

## 漂移修復FAQs
<a name="drift-remeditate-faqs"></a>

AMS 偏離修復的問題和答案。您可以使用兩種變更類型來啟動偏離修復，一種是執行模式=手動或「受管自動化」，另一種是執行模式=自動化。

### 漂移修復支援的資源 (ct-3kinq0u4l33zf)
<a name="drift-remeditate-faqs-sr"></a>

這些是漂移修復變更類型 (ct-3kinq0u4l33zf) 支援的資源。  若要修復任何資源，請改用「受管自動化」(ct-34sxfo53yuzah) 變更類型。

```
AWS::EC2::Instance
AWS::EC2::SecurityGroup
AWS::EC2::VPC
AWS::EC2::Subnet
AWS::EC2::NetworkInterface
AWS::EC2::EIP
AWS::EC2::InternetGateway
AWS::EC2::NatGateway
AWS::EC2::NetworkAcl
AWS::EC2::RouteTable
AWS::EC2::Volume
AWS::AutoScaling::AutoScalingGroup
AWS::AutoScaling::LaunchConfiguration
AWS::AutoScaling::LifecycleHook
AWS::AutoScaling::ScalingPolicy
AWS::AutoScaling::ScheduledAction
AWS::ElasticLoadBalancing::LoadBalancer
AWS::ElasticLoadBalancingV2::Listener
AWS::ElasticLoadBalancingV2::ListenerRule
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::CloudWatch::Alarm
```

### 偏離修復變更類型
<a name="drift-remeditate-faqs-cts"></a>

有關使用 AMS 偏離修復變更類型的問題和答案。

如需偏離修補功能的支援資源清單，請參閱 [漂移修復支援的資源 (ct-3kinq0u4l33zf)](#drift-remeditate-faqs-sr)。

**重要**  
漂移修復會修改堆疊範本和/或參數，而且必須更新本機範本儲存庫或更新這些堆疊的任何自動化，才能使用最新的堆疊範本和參數。使用舊範本和/或參數而不同步可能會導致基礎資源的變更受損。  
沒有受管自動化的 CT (ct-3kinq0u4l33zf) 支援每個 RFC 僅修復 10 個資源。若要以 10 個批次修復剩餘的資源，請建立新的 RFCs，直到所有資源都修復為止。

我應該使用哪種偏離修復變更類型？  
我們建議在以下情況下使用**無受管自動化**的自動化 CT (ct-3kinq0u4l33zf)：  
+ 您嘗試使用自動化 CT 執行現有堆疊資源的更新，而 RFC 會被拒絕，因為堆疊是 `DRIFTED`。
+ 您過去曾使用更新 CT，但因為堆疊已 DRIFTED 而失敗。您不需要再次嘗試更新，可以改用受管自動化、手動、CT。
我們建議只在漂移修復不支援漂移資源類型時，才使用**受管自動化**、手動 CT (ct-34sxfo53yuzah)，沒有受管自動化、自動化、CT (ct-3kinq0u4l33zf)，或者漂移修復沒有受管自動化、自動化、CT 失敗時。

修補期間對堆疊執行哪些變更？  
修復需要更新堆疊範本和/或參數，具體取決於漂移的屬性。修補也會在修補期間更新堆疊的堆疊政策，並在修補完成後將堆疊政策還原至先前的值。

如何查看對堆疊範本和/或參數執行的變更？  
在 RFC 的回應中，會提供變更摘要，其中包含下列資訊：  
+ `ChangeSummaryJson`：包含堆疊範本和/或參數的變更摘要，作為偏離修復的一部分。修復會以多個階段執行。此變更摘要包含個別階段的變更。如果修復成功，請檢查最後一個階段的變更。如需依順序執行的階段，請參閱 JSON 中的 ExecutionPlan。例如，存在時的 RestoreReferences 區段一律在結尾執行，並包含修正後變更的 JSON。如果修復是在 DryRun 模式下執行，則這些變更都不會套用至堆疊。
+ `PreRemediationStackTemplateAndConfigurationJson`：在堆疊上觸發修復之前，包含 CloudFormation Stack 的組態快照，包括範本、參數、輸出、StackPolicyBody。

執行修復之後，我需要做什麼？  
您需要使用 RFC 摘要中提供的最新範本和參數，來更新本機範本儲存庫或任何會更新修復堆疊的自動化。請務必這麼做，因為使用舊範本和/或參數可能會對堆疊資源造成進一步的破壞性變更。

在此修復期間，我的應用程式是否會生效？  
修復是一種離線程序，僅在 CloudFormation 堆疊組態上執行。不會對基礎資源執行更新。

在修復之後，我可以繼續使用管理 \$1 其他 \$1 其他 RFCs 對資源執行更新嗎？  
我們建議您一律使用可用的自動更新 CTs執行堆疊資源的更新。當可用的更新 CTs不支援您的使用案例時，請使用管理 \$1 其他 \$1 其他請求。

修補是否在堆疊中建立新的資源？  
修復不會在堆疊中建立新的資源。不過，修補會建立新的輸出並更新堆疊範本[中繼資料](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/metadata-section-structure.html)區段，以存放修補摘要供您參考。

修復是否一律成功？  
修復需要仔細分析和驗證範本組態，以判斷是否可以執行。在這些驗證失敗的情況下，修復程序會停止，且堆疊範本或參數不會進行任何變更。此外，只能對支援的資源類型執行修復。

如果修復不成功，如何執行堆疊資源的更新？  
您可以使用 管理 \$1 其他 \$1 其他 \$1 更新 CT (ct-0xdawir96cy7k) 來請求變更。AMS 會監控這類案例，並致力於改善修補解決方案。

我可以修復同時具有支援和不支援資源類型的堆疊嗎？  
是。不過，只有在堆疊中找到支援的資源類型 DRIFTED 時，才會執行修復。如果任何不支援的資源類型為 DRIFTED，則不會繼續修復。

對於透過非 CFN 擷取 CTs 建立的堆疊，我可以請求修復嗎？  
是。無論用於建立堆疊的變更類型為何，都可以在堆疊上執行修補。

我是否可以知道在修復之前將對堆疊執行的變更？  
是。這兩種變更類型都提供 **DryRun** 選項，您可以用來請求在堆疊修復時執行的變更。不過，最終修復變更可能會因修復時堆疊上存在的偏離而有所不同。

# 排程 RFCs
<a name="ex-rfc-scheduling"></a>

**排程**功能可讓您選擇 RFCs的開始時間。下列選項可在 **排程功能**中使用：
+ **盡快執行此變更**：一旦核准，AMS 就會執行 RFC。大多數 CTs都會自動核准。如果不希望 RFC 在特定時間啟動，請使用此選項。
+ **排程此變更**：設定要執行 RFC 的日期、時間和時區。對於自動變更類型，最佳實務是在您計劃提交 RFC 至少 10 分鐘後請求開始時間。對於受管自動化變更類型，您必須在計劃提交 RFC 至少 24 小時後請求開始時間。如果設定的開始時間未核准 RFC，則會拒絕 RFC。

## 設定 RFC 排程
<a name="ex-rfc-scheduling-schedule"></a>

若要排程 RFC，請使用下列其中一種方法：

**盡快執行此變更**：
+ 主控台：不執行任何動作。這會使用預設 RFC 排程。
+ API 或 CLI：移除建立 RFC 操作中的 `RequestedStartTime`和 `RequestedEndTime`選項。

如果 RFCs提交後的三十天內未獲得核准，即會自動拒絕**。**

**排程此變更**：
+ 主控台：選取**排程此變更**選項按鈕。**開始時間**區域隨即開啟。手動輸入一天，或使用行事曆小工具來挑選一天。以 UTC 輸入以 ISO 8601 格式表示的時間，並使用下拉式清單來挑選位置。根據預設，AMS 使用 ISO 8601 格式 YYYYMMDDThhmmssZ 或 YYYY-MM-DDThh：mm：ssZ，接受任一格式。
**注意**  
**預設結束時間**是從您輸入的**開始時間**起算 4 小時。若要將排程變更的**結束時間**設定為超過 4 小時，請使用 API 或 CLI 來執行變更。
+ API 或 CLI：在建立 RFC 操作中提交 `RequestedStartTime`和 `RequestedEndTime` 參數的值。傳遞已設定的 `RequestedEndTime` 不會停止已啟動的自動變更類型的執行。對於「受管自動化」變更類型，如果在 AMS Operations 研究仍在進行中時`RequestedEndTime`達到 ，而且您正在與 AMS 通訊，則可以請求 延伸，或者您可能需要重新提交 RFC。
**提示**  
如需 UTC 時間讀取的範例，請參閱 Time-is 網站上的 [UTC](https://time.is/UTC)。日期/時間值為 2016-12-05 的 ISO 8601 格式範例，時間為下午 2：20：**2016-12-05T14：20：00Z **或 **20161205T142000Z**。

如果您提供...
+ 只有 `RequestedStartTime`，RFC 會被視為已排程，並使用 `RequestedEndTime` `ExecutionDurationInMinutes`值填入 。
+ 只有 `RequestedEndTime`，我們擲回 InvalidArgumentException。
+ `RequestedStartTime` 和 ，`RequestedEndTime`我們都會以`RequestedEndTime`指定的開始時間加上 `ExecutionDurationInMinutes`值來覆寫 。
+ 無論是 `RequestedStartTime`還是 `RequestedEndTime`，我們都會將這些值保留為 null，並將 RFC 視為 ASAP RFC。

**注意**  
對於所有排程RFCs，未指定的結束時間會寫入為指定的時間`RequestedStartTime`加上所提交變更類型的`ExpectedExecutionDurationInMinutes`屬性。例如，如果 `ExpectedExecutionDurationInMinutes`是 "60" （分鐘），且指定的 `RequestedStartTime`是 `2016-12-05T14:20:00Z`(2016 年 12 月 5 日上午 4：20)，則實際結束時間將設定為 2016 年 12 月 5 日上午 5：20。若要尋找`ExpectedExecutionDurationInMinutes`特定變更類型的 ，請執行此命令：  

```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```

## 使用 RFC Priority 選項
<a name="ex-rfc-priority"></a>

在`execution mode = manual`變更類型中使用 **Priority** 選項，提醒 AMS Operations 請求的緊急程度。

中的**優先順序**選項`execution mode = manual`：

將手動 RFC 的優先順序指定為**高**、**中**或**低**。分類為**高**RFCs 會在分類為**中**RFCs之前經過審核和核准，但需受 RFC 服務水準目標 SLOs) 及其提交時間的約束。具有**低**優先順序或未指定優先順序RFCs 會依提交順序進行處理。

# 核准或拒絕 RFCs
<a name="ex-rfc-approvals"></a>

使用核准必要 （手動） CTs RFCs 必須經過您或 AMS 的核准。會自動處理預先核准的 CTs。如需詳細資訊，請參閱[CT 核准要求](constrained-unconstrained-ctis.md)。

**注意**  
使用手動 CTs時，AMS 建議您使用 ASAP **排程選項 **（在主控台中選擇 **ASAP**，在 API/CLI 中保留開始和結束時間空白），因為這些 CTs 需要 AMS 運算子來檢查 RFC，並在核准和執行之前與您通訊。如果您排程這些 RFCs，請務必至少允許 24 小時。如果未在排定的開始時間之前進行核准，RFC 會自動遭到拒絕。

如果 AMS 成功提交核准所需的 RFC，則必須獲得您的明確核准。或者，如果您提交核准所需的 RFC，則必須由 AMS 核准。如果您需要核准 AMS 提交的 RFC，則會傳送電子郵件或其他預先決定的通訊給您請求核准。通訊包含 RFC ID。傳送通訊後，請執行下列其中一項操作：
+ 主控台核准或拒絕：使用相關 RFC 的 RFC 詳細資訊頁面：  
![\[RFC 詳細資訊頁面。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/AMS_Console-App-Rej.png)
+ API/CLI 核准：[ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html) 會將變更標記為已核准。如果需要兩者，擁有者和運算子都必須採取 動作。以下是 CLI 核准命令的範例。在下列範例中，將 RFC\$1ID 取代為適當的 RFC ID。

  ```
  aws amscm approve-rfc --rfc-id RFC_ID
  ```
+ API/CLI 拒絕：[RejectRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_RejectRfc.html) 會將變更標記為已拒絕。以下是 CLI 拒絕命令的範例。在下列範例中，將 RFC\$1ID 取代為適當的 RFC ID。

  ```
  aws amscm reject-rfc --rfc-id RFC_ID --reason "no longer relevant"
  ```

# 請求 RFC 限制執行期間
<a name="ex-rfc-restrict-execute"></a>

先前稱為中斷日，您可以請求限制特定時段。在此期間無法執行任何變更。

若要設定限制的執行期間，請使用 [UpdateRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRestrictedExecutionTimes.html) API 操作，並以 UTC 設定特定期間。您指定的期間會覆寫先前指定的任何期間。如果您在指定的限制執行時間提交 RFC，提交會失敗，並顯示無效的 RFC 排程錯誤。您最多可以指定 200 個限制時段。根據預設，不會設定限制期間。以下是範例 請求命令 （已設定 SAML 身分驗證）：

```
aws amscm  --profile saml update-restricted-execution-times --restricted-execution-times="[{\"TimeRange\":{\"StartTime\":\"2018-01-01T12:00:00Z\",\"EndTime\":\"2018-01-01T12:00:01Z\"}}]"
```

您也可以執行 RestrictedExecutionTimes API 操作來檢視目前的 RestrictedExecutionTimes 設定。 [ListRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRestrictedExecutionTimes.html) 範例：

```
aws amscm  --profile saml list-restricted-execution-times
```

如果您想要在指定的限制執行時間提交 RFC，請使用 **OverrideRestrictedTimeRanges** 值新增 **RestrictedExecutionTimesOverrideId**，然後像平常一樣提交 RFC。最佳實務是僅將此方法用於關鍵或緊急 RFC。如需詳細資訊，請參閱 [SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html) 的 API 參考。

# 建立、複製、更新、尋找和取消 RFCs
<a name="ex-rfc-use-examples"></a>

下列範例會逐步解說各種 RFC 操作。

**Topics**
+ [建立 RFC](ex-rfc-create-col.md)
+ [使用 AMS 主控台複製 RFCs （重新建立）](ex-clone-rfcs.md)
+ [更新 RFCs](ex-update-rfcs.md)
+ [尋找 RFCs](ex-rfc-find-col.md)
+ [取消 RFCs](ex-cancel-rfcs.md)

# 建立 RFC
<a name="ex-rfc-create-col"></a>

## 使用主控台建立 RFC
<a name="ex-rfc-create-con"></a>

以下是 AMS 主控台中 RFC 建立程序的第一頁，其中開啟**快速卡**並啟用**瀏覽變更類型**：

![\[Quick create section with options for common AWS stack operations and access management.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/quickCreate1.png)


以下是 AMS 主控台中 RFC 建立程序的第一頁，並啟用**依類別選取**：

![\[Create RFC page with change type categorization options for managed services environment.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/guiRfcCreate1-2.png)


運作方式：

1. 導覽至**建立 RFC** 頁面：在 AMS 主控台的左側導覽窗格中，按一下 **RFCs**以開啟 RFCs清單頁面，然後按一下**建立 RFC**。

1. 在預設**瀏覽變更類型檢視中選擇熱門的變更類型** (CT)，或在**依類別選擇**檢視中選擇 CT。
   + **依變更類型瀏覽**：您可以在**快速建立**區域中按一下熱門的 CT，以立即開啟**執行 RFC** 頁面。請注意，您無法透過快速建立選擇較舊的 CT 版本。

     若要排序 CTs，請使用**卡片**或**資料表**檢視中的所有**變更類型**區域。在任一檢視中，選取 CT，然後按一下**建立 RFC** 以開啟**執行 RFC** 頁面。如果適用，**建立較舊版本**選項會顯示在**建立 RFC** 按鈕旁。
   + **依類別選擇**：選取類別、子類別、項目和操作，如果適用，CT 詳細資訊方塊會開啟，其中包含**使用較舊版本建立**的選項。按一下**建立 RFC** 以開啟**執行 RFC** 頁面。

1. 在**執行 RFC** 頁面上，開啟 CT 名稱區域以查看 CT 詳細資訊方塊。需要**主旨** （如果您在**瀏覽變更類型**檢視中選擇 CT，則會為您填入）。開啟**其他組態**區域以新增 RFC 的相關資訊。

   在**執行組態**區域中，使用可用的下拉式清單或輸入必要參數的值。若要設定選用的執行參數，請開啟**其他組態**區域。

1. 完成後，請按一下**執行**。如果沒有錯誤，**RFC 成功建立**的頁面會顯示已提交的 RFC 詳細資訊，以及初始的**執行輸出**。

1. 開啟**執行參數**區域以查看您提交的組態。重新整理頁面以更新 RFC 執行狀態。或者，取消 RFC 或使用頁面頂端的選項建立 RFC 的副本。

## 使用 CLI 建立 RFC
<a name="ex-rfc-create-cli"></a>

運作方式：

1. 使用內嵌建立 （您發出包含所有 RFC 和執行參數的`create-rfc`命令） 或範本建立 （您建立兩個 JSON 檔案，一個用於 RFC 參數，另一個用於執行參數），並使用兩個檔案作為輸入發出`create-rfc`命令。此處說明這兩種方法。

1. 使用傳回的 RFC ID 提交 RFC： `aws amscm submit-rfc --rfc-id ID`命令。

   監控 RFC： `aws amscm get-rfc --rfc-id ID`命令。

若要檢查變更類型版本，請使用下列命令：

```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**注意**  
您可以將任何`CreateRfc`參數與任何 RFC 搭配使用，無論它們是否為變更類型結構描述的一部分。例如，若要在 RFC 狀態變更時取得通知，請將此行新增至請求的 `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` RFC 參數部分 （而非執行參數）。如需所有 CreateRfc 參數的清單，請參閱 [AMS 變更管理 API 參考](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)。

*內嵌建立*：

使用內嵌提供的執行參數發出建立 RFC 命令 （在內嵌提供執行參數時逸出引號），然後提交傳回的 RFC ID。例如，您可以將內容取代為如下內容：

```
aws amscm create-rfc --change-type-id "CT_ID" --change-type-version "VERSION" --title "TITLE" --execution-parameters "{\"Description\": \"example\"}"
```

*範本建立*：
**注意**  
此建立 RFC 的範例使用Load Balancer (ELB) 堆疊變更類型。

1. 尋找相關的 CT。下列命令會搜尋**項目**名稱中包含「ELB」的 CT 分類摘要，並以資料表形式建立類別、項目、操作和 ChangeTypeID 的輸出 （兩者的子類別都是 `Advanced stack components`)。

   ```
   aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries[?contains(Item,'ELB')].[Category,Item,Operation,ChangeTypeId]" --output table
   ```

   ```
   ---------------------------------------------------------------------
   |                            CtSummaries                            |
   +-----------+---------------------------+---------------------------+
   | Deployment| Load balancer (ELB) stack | Create | ct-123h45t6uz7jl |
   | Management| Load balancer (ELB) stack | Update | ct-0ltm873rsebx9 |
   +-----------+---------------------------+---------------------------+
   ```

1. 尋找最新版本的 CT：

   `ChangeTypeId` 和 `ChangeTypeVersion`：此演練的變更類型 ID 為 `ct-123h45t6uz7jl`（建立 ELB)，若要了解最新版本，請執行此命令：

   ```
   aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=ct-123h45t6uz7jl
   ```

1. 了解選項和需求。下列命令會將結構描述輸出至名為 CreateElbParams.json.

   ```
   aws amscm get-change-type-version --change-type-id "ct-123h45t6uz7jl" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateElbParams.json
   ```

1. 修改並儲存執行參數 JSON 檔案。此範例會命名檔案 CreateElbParams.json.

   對於佈建 CT，StackTemplateId 包含在結構描述中，並且必須在執行參數中提交。

   對於 TimeoutInMinutes，允許在 RFC 失敗之前建立堆疊的分鐘數，此設定不會延遲 RFC 執行，但您必須提供足夠的時間 （例如，不要指定 "5")。對於具有長時間執行 UserData CTs：建立 EC2 和建立 ASG，有效值為「60」到「360」。對於所有其他佈建 CTs，我們建議使用允許的上限 "60"。

   提供您要建立堆疊的 VPC ID；您可以使用 CLI 命令 取得 VPC ID`aws amsskms list-vpc-summaries`。

   ```
   {
   "Description":      "ELB-Create-RFC", 
   "VpcId":            "VPC_ID", 
   "StackTemplateId":  "stm-sdhopv00000000000", 
   "Name":             "MyElbInstance",
   "TimeoutInMinutes": 60,
   "Parameters":   {
       "ELBSubnetIds":                     ["SUBNET_ID"],
       "ELBHealthCheckHealthyThreshold":   4,
       "ELBHealthCheckInterval":           5,
       "ELBHealthCheckTarget":             "HTTP:80/",
       "ELBHealthCheckTimeout":            60,
       "ELBHealthCheckUnhealthyThreshold": 5,
       "ELBScheme":                        false
       }
   }
   ```

1. 將 RFC JSON 範本輸出到目前資料夾中名為 CreateElbRfc.json:

   ```
   aws amscm create-rfc --generate-cli-skeleton > CreateElbRfc.json
   ```

1. 修改並儲存 CreateElbRfc.json 檔案。由於您在不同的檔案中建立執行參數，請移除該`ExecutionParameters`行。例如，您可以將內容取代為如下內容：

   ```
   {
   "ChangeTypeVersion":    "2.0",
   "ChangeTypeId":         "ct-123h45t6uz7jl",
   "Title":                "Create ELB"
   }
   ```

1. 建立 RFC。下列命令會指定執行參數檔案和 RFC 範本檔案：

   ```
   aws amscm create-rfc --cli-input-json file://CreateElbRfc.json --execution-parameters file://CreateElbParams.json
   ```

   您會在回應中收到新 RFC 的 ID，並使用它來提交和監控 RFC。在您提交之前，RFC 會保持在編輯狀態，不會啟動。

## 提示
<a name="ex-rfc-create-tip"></a>

**注意**  
您可以使用 AMS API/CLI 來建立 RFC，而無需建立 RFC JSON 檔案或 CT 執行參數 JSON 檔案。若要這樣做，您可以使用 `create-rfc`命令，並將所需的 RFC 和執行參數新增至命令，這稱為「內嵌建立」。請注意，所有佈建 CTs`execution-parameters`區塊中包含具有資源參數的`Parameters`陣列。參數必須具有以反斜線 (\$1) 逸出的引號。  
另一個建立 RFC 的記錄方法稱為「範本建立」。您可以在此處為 RFC 參數建立 JSON 檔案，並為執行參數建立另一個 JSON 檔案，並使用 `create-rfc`命令提交這兩個檔案。這些檔案可以做為範本，並再次用於未來的 RFCs。  
使用 範本建立 RFCs 時，您可以使用 命令，透過發出命令來建立具有所需內容的 JSON 檔案，如下所示。這些命令會使用顯示的內容建立名為 "parameters.json" 的檔案；您也可以使用這些命令來建立 RFC JSON 檔案。

# 使用 AMS 主控台複製 RFCs （重新建立）
<a name="ex-clone-rfcs"></a>

您可以使用 AMS 主控台來複製現有的 RFC。

若要使用 AMS 主控台複製或重新建立 RFC，請遵循下列步驟：

1. 尋找相關的 RFC。在左側導覽中，按一下 **RFCs**。

   RFCs儀表板隨即開啟。

1. 捲動頁面，直到您找到要複製的 RFC。使用**篩選條件**選項縮小清單範圍。選擇您要複製的 RFC。

   RFC 詳細資訊頁面隨即開啟。

1. 按一下**建立複本**。

   **建立變更請求**頁面隨即開啟，並將所有選項設定為原始 RFC 中的 。

1. 進行您想要的變更。若要設定其他選項，請將**基本**選項變更為**進階**。設定所有選項之後，請選擇**提交**。

   作用中 RFC 詳細資訊頁面會開啟，其中包含複製 RFC 的新 RFC ID，而複製的 RFC 會出現在 RFC 儀表板中。

# 更新 RFCs
<a name="ex-update-rfcs"></a>

您可以更新 RFC 然後提交或重新提交，以重新提交已被拒絕或尚未提交的 RFC。請注意，大多數 RFCs會遭到拒絕，因為在提交之前`RequestedStartTime`已通過指定的 ，或指定的 TimeoutInMinutes 不足以執行 RFC （由於 TimeoutInMinutes 不會延長成功的 RFC，我們建議針對 Amazon EC2 或具有長時間執行 UserData 的 Amazon EC2 Auto Scaling 群組，一律將此設定為至少 "60" 且最多 "360")。本節說明如何使用 `UpdateRfc`命令的 CLI 版本，使用新的 RFC 參數更新 RFC，或使用字串化 JSON 或更新的參數檔案更新新參數。

此範例說明使用 AMS UpdateRfc API 的 CLI 版本 （請參閱[更新 RFC](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/update-rfc.html))。雖然更新某些資源 (DNS 私有和公有、負載平衡器堆疊和堆疊修補組態） 有變更類型，但沒有 CT 可更新 RFC。

我們建議您一次提交一個 UpdateRfc 操作。如果您提交多個更新，例如在 DNS 堆疊上，更新可能無法同時嘗試更新 DNS。

必要資料：`RfcId`：您正在更新的 RFC。

選擇性資料：`ExecutionParameters`：除非您更新非必要欄位，例如 `Description`，否則您可以提交修改後的執行參數，以解決導致 RFC 被拒絕或取消的問題。所有提交的非空值都會覆寫原始 RFC 中的這些值。

1. 尋找相關的已拒絕或取消 RFC，您可以使用此命令 （您可以使用 取代值`Canceled`)：

   ```
   aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Rejected
   ```

1. 您可以修改下列任何 RFC 參數：

   ```
   {
       "Description": "string",
       "ExecutionParameters": "string",
       "ExpectedOutcome": "string",
       "ImplementationPlan": "string",
       "RequestedEndTime": "string",
       "RequestedStartTime": "string",
       "RfcId": "string",
       "RollbackPlan": "string",
       "Title": "string",
       "WorstCaseScenario": "string"}
   ```

   更新描述欄位的範例命令：

   ```
   aws amscm update-rfc --description "AMSTestNoOpsActionRequired" --rfc-id "RFC_ID" --region us-east-1
   ```

   更新 ExecutionParameters VpcId 欄位的範例命令：

   ```
   aws amscm update-rfc  --execution-parameters "{\"VpcId\":\"VPC_ID\"}" --rfc-id "RFC_ID" --region us-east-1
   ```

   使用包含更新的執行參數檔案更新 RFC 的範例命令；請參閱 [EC2 堆疊 \$1 建立](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ec2-stack-create.html)之步驟 2 中的範例執行參數檔案：

   ```
   aws amscm update-rfc --execution-parameters file://CreateEc2ParamsUpdate.json --rfc-id "RFC_ID" --region us-east-1
   ```

1. 使用 `submit-rfc`和您在第一次建立 RFC 時擁有的相同 RFC ID 重新提交 RFC：

   ```
   aws amscm submit-rfc --rfc-id RFC_ID
   ```

   如果 RFC 成功，您在命令列不會收到確認或錯誤訊息。

1. 若要監控請求的狀態和檢視執行輸出，請執行下列命令。

   ```
   aws amscm get-rfc --rfc-id RFC_ID
   ```

# 尋找 RFCs
<a name="ex-rfc-find-col"></a>

## 使用主控台尋找變更請求 (RFC)
<a name="ex-rfc-find-con"></a>

若要使用 AMS 主控台尋找 RFC，請遵循下列步驟。
**注意**  
此程序僅適用於排程RFCs，也就是未使用 **ASAP** 選項的 RFCs。

1. 在左側導覽中，按一下 **RFCs**。

   RFCs儀表板隨即開啟。

1. 捲動清單或使用**篩選**選項來精簡清單。

   RFC 清單會依篩選條件而變更。

1. 選擇您想要的 RFC 主旨連結。

   RFC 詳細資訊頁面會開啟該 RFC，其中包含 RFC ID 等資訊。

1.  如果儀表板中有許多 RFCs，您可以使用**篩選條件**選項依 RFC 搜尋：
   + **主旨**：建立 RFC 時提供給 RFC 的主旨行或標題 （在 API/CLI 中）。
   + **RFC ID**：RFC 的識別符。
   + **活動狀態**：如果您知道 RFC 狀態，您可以在 **AwsOperatorAssigned** 之間進行選擇，表示運算子目前正在查看 RFC，**AwsActionPending** 表示 AMS 運算子必須執行某些動作，然後 RFC 執行才能繼續，或者 **CustomerActionPending** 表示您需要採取一些動作，才能繼續執行 RFC。
   + **狀態**：如果您知道 RFC 狀態，您可以選擇：
     + **已排程**：已排程RFCs。
     + **已取消**：已取消RFCs。
     + **進行中**：RFCs進行中。
     + **成功**：成功執行RFCs。
     + **已拒絕**：已拒絕RFCs。
     + **編輯**：正在編輯RFCs。
     + **失敗**：失敗RFCs。
     + **待核准**：在 AMS 或您核准之前無法繼續進行RFCs。一般而言，這表示您需要核准 RFC。您會在服務請求清單中收到此服務通知。
   + **變更類型**：挑選**類別**、**子類別**、**項目**和**操作**，然後為您擷取變更類型 ID。
   + **請求的開始時間**或**請求的結束時間**：此篩選條件選項可讓您選擇**之前**或之後****，然後輸入**日期**和選擇性**的時間** (hh：mm 和時區）。此篩選條件只會在排程 RFCs （非 ASAP RFCs上成功運作。
   + **狀態**：**已排程**、**已取消**、**進行中**、**成功**、**已拒絕**、**編輯**或**失敗**。
   + **主旨**：您提供 RFC 的主旨 （或標題，如果使用 API/CLI 建立 RFC)。
   + **變更類型 ID**：使用與 RFC 一起提交的變更類型識別符。

   搜尋可讓您新增篩選條件，如下列螢幕擷取畫面所示。  
![\[Search or filter options including Subject, RFC ID, Activity state, and various time-related fields.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/filterRfcAllOptions3.png)

1. 按一下您想要的 RFC 主旨連結。

   RFC 詳細資訊頁面會開啟該 RFC，其中包含 RFC ID 等資訊。

## 使用 CLI 尋找變更請求 (RFC)
<a name="ex-rfc-find-cli"></a>

您可以使用多個篩選條件來尋找 RFC。

若要檢查變更類型版本，請使用下列命令：

```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**注意**  
您可以將任何`CreateRfc`參數與任何 RFC 搭配使用，無論它們是否為變更類型結構描述的一部分。例如，若要在 RFC 狀態變更時取得通知，請將此行新增至請求的 `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` RFC 參數部分 （而非執行參數）。如需所有 CreateRfc 參數的清單，請參閱 [AMS 變更管理 API 參考](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)。

如果您不記下 RFC ID，且稍後需要找到它，您可以使用 AMS 變更管理 (CM) 系統來搜尋它，並使用篩選條件或查詢縮小結果範圍。

1. CM API [ListRfcSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRfcSummaries.html) 操作具有篩選條件。您可以根據邏輯 AND 操作中的 `Attribute`和 `Value`組合，或根據 `Condition`、 `Attribute`和 來[篩選](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_Filter.html)結果`Values`。  
**RFC 篩選**    
<a name="rfc-filtering-table"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/ex-rfc-find-col.html)

   範例：

   若要尋找與 SQS 相關的所有 RFCs IDs （其中 SQS 包含在 CT 的項目部分），您可以使用此命令：

   ```
   list-rfc-summaries --query 'RfcSummaries[?contains(Item.Name,`SQS`)].[Category.Id,Subcategory.Id,Type.Id,Item.Id,RfcId]' --output table
   ```

   傳回如下內容：

   ```
   ----------------------------------------------------------------------------
   |                         ListRfcSummaries                                   |
   +----------+--------------------------------+-------+-------+----------------+
   |Deployment| Advanced Stack Components      |SQS    |Create |ct-123h45t6uz7jl|
   |Management| Monitoring & Notification  |SQS    |Update |ct-123h45t6uz7jl|
   +----------+--------------------------------+-------+-------+----------------+
   ```

   另一個適用於 的篩選條件`list-rfc-summaries`是 `AutomationStatusId`，用於尋找自動化或手動RFCs：

   ```
   aws amscm list-rfc-summaries --filter Attribute=AutomationStatusId,Value=Automated
   ```

   另一個適用於 的篩選條件`list-rfc-summaries`是 `Title`（主控台中的**主旨**)：

   ```
    Attribute=Title,Value=RFC-TITLE
   ```

   JSON 中傳回 RFCs的新請求結構範例，其中：
   + （標題包含「Windows 2012」或「Amazon Linux」) 和
   + (RfcStatusId EQUALS "Success" 或 "InProgress") 和
   + (20170101T000000Z <= RequestedStartTime <= 20170103T000000Z) AND (ActualEndTime <= 20170103T000000Z)

   ```
   {
     "Filters": [
       {
         "Attribute": "Title",
         "Values": ["Windows 2012", "Amazon Linux"],
         "Condition": "Contains"
       },
       {
         "Attribute": "RfcStatusId",
         "Values": ["Success", "InProgress"],
         "Condition": "Equals"
       },
       {
         "Attribute": "RequestedStartTime",
         "Values": ["20170101T000000Z", "20170103T000000Z"],
         "Condition": "Between"
       },
       {
         "Attribute": "ActualEndTime",
         "Values": ["20170103T000000Z"],
         "Condition": "Before"
       }
     ]
   }
   ```
**注意**  
使用更進階的 `Filters`，AMS 打算在即將發行的版本中棄用下列欄位：  
值：值欄位是篩選條件欄位的一部分。使用支援更進階功能的值欄位。
RequestedEndTimeRange：在支援更進階功能的篩選條件欄位中使用 RequestedEndTime 
RequestedStartTimeRange：在支援更進階功能的篩選條件欄位中使用 RequestedStartTime。

   如需使用 CLI 查詢的相關資訊，請參閱[如何使用 --query Option 篩選輸出](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter)，以及查詢語言參考 [JMESPath Specification](http://jmespath.org/specification.html)。

1. 如果您使用的是 AMS 主控台：

   前往 **RFCs**清單頁面。如有需要，您可以篩選 RFC **主體**，這是您在建立 RFC `Title`時輸入的內容。

## 提示
<a name="ex-rfc-find-tip"></a>

**注意**  
此程序僅適用於排程RFCs，也就是未使用 **ASAP** 選項的 RFCs。

# 取消 RFCs
<a name="ex-cancel-rfcs"></a>

您可以使用 主控台或 AMS API/CLI 來取消 RFC。

若要使用主控台取消 RFC，請在 RFC 清單中尋找 RFC，開啟它，然後按一下**取消**。

必要資料：
+ `Reason`：取消 RFC 的原因。
+ `RfcId`：您要取消的 RFC。

1. 一般而言，您會在提交 RFC 後立即取消 RFC （因此 RFC ID 應該很方便）；否則，除非您已排定，且早於指定的開始時間，否則您將無法取消 RFC。如果您需要尋找 RFC ID，您可以使用此命令 （您可以將 `Value` 取代`PendingApproval`為手動核准的 RFC)：

   ```
   aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Scheduled
   ```

1. 取消 RFC 的範例命令：

   ```
   aws amscm cancel-rfc --reason "Bad Stack ID" --rfc-id "RFC_ID" --profile saml --region us-east-1
   ```

# 搭配 RFCs 使用 AMS 主控台
<a name="ex-rfc-gui"></a>

AMS 主控台提供的功能可協助您成功建立和提交 RFCs。

## 使用 RFC 清單頁面 （主控台）
<a name="ex-rfc-list-table"></a>

AMS 主控台 **RFCs**清單頁面為您提供下列選項：
+ 透過**篩選條件**進行進階 RFC 搜尋。如需相關資訊，請參閱[尋找 RFCs](ex-rfc-find-col.md)。
+ 尋找上次**修改** RFC 的時間。此值代表上次變更 RFC 狀態的時間。
+ 使用 RFC **主體**檢視 RFC 詳細資訊。選擇此連結會開啟該 RFC 的詳細資訊頁面。
+ 檢視 RFC 狀態。如需相關資訊，請參閱[了解 RFC 狀態碼](ex-rfc-status-codes.md)。

![\[RFC 清單頁面。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/guiRfcListTable.png)


## 使用 RFC 快速建立 （主控台）
<a name="ex-rfc-create-qc"></a>

使用 RFC 快速建立卡或清單資料表，或依分類選擇 RFCs的變更類型。

如需詳細資訊，請參閱 [建立 RFC](ex-rfc-create-col.md)。

## 新增 RFC 通訊和附件 （主控台）
<a name="ex-rfc-correspondence"></a>

您可以在 RFC 提交之後並在核准之前新增通訊；例如，當 RFC 處於「PendingApproval」狀態時。核准 RFC 之後 （處於「排程」或「InProgress」的狀態），便無法新增通訊，因為它可以解釋為請求的變更。RFC 完成後 （狀態為「已取消」、「已拒絕」、「成功」或「失敗」)，雖然 RFC 關閉超過 30 天後，會再次啟用通訊。

**注意**  
每個通訊限制為 5，000 個字元。

**附件的限制：**
+ 每個通訊僅三個附件。
+ 每個 RFC 限制 50 個附件。
+ 每個附件的大小必須小於 5 MB。
+ 只接受文字檔案，例如純文字 (`.txt`)、逗號分隔值 (`.csv`)、JSON (`.json`) 或 YAML ()`.yaml`。如果是 YAML 格式，則必須使用副檔名 連接檔案`.yaml`。
**注意**  
禁止包含 XML 內容的文字檔案。如果您有要與 AMS 共用的 XML 內容，請使用服務請求。
+ 檔案名稱限制為 255 個字元，只有數字、字母、空格、破折號 (-)、底線 (\$1) 和點 (.)。
+ 目前不支援更新和刪除 RFC 上的附件。

若要將通訊和附件新增至 RFC，請遵循下列步驟：

1. 在 AMS 主控台的 RFC 詳細資訊頁面上，找到頁面底部的**對應**區段。

   在任何通訊之前：  
![\[空白通訊區段。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/correspondence-rfc-detail-new.png)

   在一些通訊之後：  
![\[通訊區段顯示回覆表單和收到的通訊。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/correspondence-reply-form2.png)

1. 若要新增通訊，請在**回覆**文字方塊中輸入訊息。若要連接與通訊相關的檔案，請選擇**新增附件**，然後選擇您想要的檔案。  
![\[顯示註解方塊和附件的通訊區段。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/correspondence-add-attachments.png)

1. 完成後，請選擇**提交**。

   新的通訊以及附加檔案的連結會出現在 RFC 詳細資訊頁面上的通訊清單中。  
![\[收到的通訊清單。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/correspondence-list2.png)

# 設定 RFC 電子郵件通知 （主控台）
<a name="ex-rfc-email-notices"></a>

AMS 主控台**變更請求**建立頁面可讓您選擇新增電子郵件地址，以接收 RFC 狀態變更的通知：

![\[新增電子郵件地址以接收 RFC 狀態變更的通知。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/emailNoticeOption2.png)


此外，您可以將通知的電子郵件地址新增至任何變更類型，例如：

```
aws amscm create-rfc --change-type-id <Change type ID>
                    --change-type-version 1.0 --title "TITLE"
                    --notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"
```

在請求的 RFC 參數部分中，將類似的行 (`--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`) 新增至任何變更類型內嵌或範本請求，而非參數部分。

# 了解常見的 RFC 參數
<a name="rfc-common-params"></a>

以下是您必須提交的 RFC 參數，以及 RFCs 中常用的參數：
+ 變更類型資訊：ChangeTypeId 和 ChangeTypeVersion。Ror 變更類型 IDs和版本編號的清單，請參閱[變更類型參考](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)。

  使用 `query`引數在 CLI `list-change-type-classification-summaries`中執行 ，以縮小結果範圍。例如，縮小結果以變更`Item`名稱中包含「存取」的類型。

  ```
  aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains (Item, 'access')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
  ```

  執行 `get-change-type-version` 並指定變更類型 ID。下列命令會取得 ct-2tylseo8rxfsc 的 CT 版本。

  ```
  aws amscm get-change-type-version --change-type-id ct-2tylseo8rxfsc
  ```
+ 標題：RFC 的名稱；這會成為 AMS 主控台 RFC 清單中 RFC 的**主體**，您可以使用 `GetRfc`命令和 上的篩選條件進行搜尋 `Title`
+ 排程：如果您想要排程 RFC，則必須包含 `RequestedStartTime`和 `RequestedEndTime` 參數，或使用**排程此變更**主控台選項。對於 **ASAP** RFC （在核准後立即執行），在使用 CLI 時，請保留 `RequestedStartTime`和 `RequestedEndTime` null。使用主控台時，請接受 **ASAP** 選項。

  如果遺漏 `RequestedStartTime` ，RFC 會遭到拒絕。
+ 佈建 CTs：執行參數或 `Parameters`是佈建資源所需的特定設定。它們因 CT 而異。
+ 非佈建 CTs：未佈建資源的 CTs，例如存取 CTs 或其他 \$1 其他，或刪除堆疊，具有最少的執行參數且沒有`Parameters`區塊。
+ 有些 RFCs還需要您指定 `TimeoutInMinutes`，或在 RFC 失敗之前，允許多少分鐘建立堆疊。對於長時間執行的 UserData，有效值為 60 （分鐘） 到 360。如果無法在超過 `TimeoutInMinutes` 之前完成執行，RFC 會失敗。不過，此設定不會延遲 RFC 的執行。
+ 建立執行個體的 RFCs，例如 S3 儲存貯體或 ELB，通常提供結構描述，可讓您新增最多七個標籤 （索引鍵/值對）。您可以使用部署 \$1 進階堆疊元件 \$1 標籤 \$1 建立變更類型 (ct-3cx7we852p3af) 提交 RFC，將更多標籤新增至 S3 儲存貯體。EC2、EFS、RDS 和多層 (HA 雙層和 HA 單層） 結構描述最多允許 50 個標籤。標籤是在結構描述`ExecutionParameters`的一部分中指定。提供標籤可能很有價值。如需詳細資訊，請參閱[標記您的 Amazon EC2 資源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。

  使用 AMS 主控台時，您必須開啟**其他組態**區域，才能新增標籤。<a name="using-tags-tip"></a>
**提示**  
許多 CT 結構描述都有靠近結構描述頂端的 `Description`和 `Name` 欄位。這些欄位用於命名堆疊或堆疊元件，而不會命名您正在建立的資源。有些結構描述提供參數來命名您正在建立的資源，有些則不會。例如，建立 EC2 堆疊的 CT 結構描述不提供參數來命名 EC2 執行個體。若要這樣做，您必須建立索引鍵為 "Name" 的標籤，以及您想要名稱的值。如果您未建立此類標籤，EC2 執行個體會顯示在 EC2 主控台中，但沒有名稱屬性。

## 使用 RFC AWS 區域選項
<a name="ex-rfc-region"></a>

AMS API 和 CLI (`amscm` 和 `amsskms`) 端點位於 中`us-east-1`。如果您與安全性聲明標記語言 (SAML) 聯合，則在加入時會為您提供指令碼，將您的 AWS 區域設定為 us-east-1。如果您使用 SAML，則不需要在發出命令時指定 `--region`選項。如果您的 SAML 設定為使用 us-east-1，但您的帳戶不在該 AWS 區域中，則您必須在發出其他 AWS 命令時指定帳戶加入區域 （例如 `aws s3`)。

**注意**  
本指南中提供的大多數命令範例不包含 `--region`選項。

# 註冊 RFC 每日電子郵件
<a name="rfc-digest"></a>

您可以使用 RFC 摘要功能，註冊每日電子郵件，總結您帳戶在過去 24 小時內的 RFC 活動。RFC 摘要功能是一個簡化的程序，可減少您收到有關帳戶 RFCs 的電子郵件通知數量。RFC 摘要可能會降低您錯過待回應動作的可能性。

若要開啟 RFC 摘要功能，請聯絡您的 AMS Cloud Service Delivery Manager (CSDM)。CSDM 會訂閱您。您最多可以請求將 20 個電子郵件地址 （或別名） 包含在 RFC 摘要電子郵件清單中。目前的電子郵件排程固定為 09：00 UTC-8。

若要關閉 RFC 摘要功能，請聯絡您的 CSDM 並提出您的請求。

如果您未設定 RFC 摘要並希望收到有關 RFCs通知，或者如果您想要 RFCs 摘要提供比 RFC 摘要更詳細的資訊，請使用變更管理系統來設定 CloudWatch Events 通知或每個個別 RFC 的電子郵件通知。如需設定 RFC 通知的資訊，請參閱 [RFC 狀態變更通知](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html)。

RFC 摘要中包含的主題包括下列項目：
+ 待客戶核准：列出處於**PendingApproval**狀態的 RFCs，等待您的核准
+ 待客戶回覆：列出正在等待 RFCs 通訊回覆的 RFC
+ 等待 AWS 核准或回覆：列出等待 AMS 回覆或核准的 RFCs 
+ 已完成：列出**成功**、**失敗**、**已取消**和**已拒絕**狀態RFCs 

以下是 RFC 摘要範例：

![\[RFC 摘要範例\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/RFCDigestExample.png)


# 什麼是變更類型？
<a name="understanding-cts"></a>

變更類型是指 AWS Managed Services (AMS) 變更請求 (RFC) 執行並包含變更動作本身的動作，以及變更類型 – 手動與自動。AMS 有大量變更類型，其他 Amazon Web 服務不會使用。您可以在提交變更請求 (RFC) 以部署、管理或存取 資源時使用這些變更類型。

**Topics**
+ [自動化和手動 CTs](ug-automated-or-manual.md)
+ [CT 核准要求](constrained-unconstrained-ctis.md)
+ [變更類型版本](ct-versions.md)
+ [建立變更類型](ct-creates.md)
+ [更新變更類型](ct-updates.md)
+ [僅限內部的變更類型](ct-internals.md)
+ [變更類型結構描述](ct-schemas.md)
+ [管理變更類型的許可](ct-permissions.md)
+ [從變更類型編輯敏感資訊](ct-redaction.md)
+ [使用查詢選項尋找變更類型](ug-find-ct-ex-section.md)

# 自動化和手動 CTs
<a name="ug-automated-or-manual"></a>

變更類型的限制條件是它們是自動還是手動，這是變更類型`AutomationStatusId`屬性，在 AMS 主控台中稱為**執行模式**。

自動化變更類型具有預期的結果和執行時間，並且通常在一小時內透過 AMS 自動化系統執行 （這主要取決於 CT 正在佈建的資源）。手動變更類型並不常見，但會受到不同的處理，因為它們需要 AMS 運算子先對 RFC 採取行動，才能執行。有時這表示與 RFC 提交者通訊，因此手動變更類型需要不同的時間長度才能完成。

對於所有排程RFCs，未指定的結束時間會寫入為指定的時間`RequestedStartTime`加上所提交變更類型的`ExpectedExecutionDurationInMinutes`屬性。例如，如果 `ExpectedExecutionDurationInMinutes`是 "60" （分鐘），且指定的 `RequestedStartTime`是 `2016-12-05T14:20:00Z`(2016 年 12 月 5 日上午 4：20)，則實際結束時間將設定為 2016 年 12 月 5 日上午 5：20。若要尋找`ExpectedExecutionDurationInMinutes`特定變更類型的 ，請執行此命令：

```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```

**注意**  
**執行模式** = 手動RFCs 必須在主控台中設定為在未來至少 24 小時執行。

**注意**  
使用手動 CTs時，AMS 建議您使用 ASAP **排程選項 **（在主控台中選擇 **ASAP**，在 API/CLI 中保留開始和結束時間空白），因為這些 CTs 需要 AMS 運算子來檢查 RFC，並在核准和執行之前與您通訊。如果您排程這些 RFCs，請務必允許至少 24 小時。如果未在排定的開始時間之前進行核准，RFC 會自動遭到拒絕。

AMS 旨在四小時內回應手動 CT，並會盡快對應，但實際執行 RFC 可能需要更長的時間。

如需手動且需要 AMS 檢閱CTs 清單，請參閱 主控台**開發人員資源**頁面上的變更類型 CSV 檔案。

**YouTube 影片**：[如何尋找 AMS RFCs的自動變更類型？](https://www.youtube.com/watch?v=sOzDuCCOduI&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=2&t=1s)

若要在 AMS 主控台中尋找 CT 的**執行模式**，您必須使用**瀏覽變更類型**搜尋選項。結果會顯示相符變更類型或變更類型的執行模式。

若要使用 AMS CLI 尋找`AutomationStatus`特定變更類型的 ，請執行此命令：

```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
```

您也可以在 [AMS 變更類型參考中查詢變更類型，該參考](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)提供有關所有 AMS 變更類型的資訊。

**注意**  
AMS API/CLI 目前不是 AWS API/CLI 的一部分。若要存取 AMS API/CLI，您可以透過 AMS 主控台下載 AMS 開發套件。

# CT 核准要求
<a name="constrained-unconstrained-ctis"></a>

AMS CTs一律有兩個核准條件：**AwsApprovalId** 和 **CustomerApprovalId**，指出 RFC 是否需要 AMS 或您或任何人核准執行。

核准條件與執行模式有些相關；如需詳細資訊，請參閱 [自動化和手動 CTs](ug-automated-or-manual.md)。

若要了解 CT 的核准條件，您可以查看 [AMS 變更類型參考](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)，或執行 [GetChangeTypeVersion](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_GetChangeTypeVersion.html)。兩者也會為您提供 CT `AutomationStatusId`或**執行模式**。

您可以使用 AMS 主控台或下列命令來核准 RFCs：

```
aws amscm approve-rfc --rfc-id RFC_ID
```


**CT 核准條件**  

| 如果 CT 核准條件為 | 它需要來自 的核准 | 及 | 
| --- | --- | --- | 
| `AwsApprovalId: Required` | AMS 變更類型系統、 | 無需採取任何動作。此條件是自動化 CTs的典型條件。 | 
| `AwsApprovalId: NotRequiredIfSubmitter` | 如果提交的 RFC 是針對其所提交的帳戶，則 AMS 變更類型系統不會有其他人， | 無需採取任何動作。此條件適用於手動 CTs因為 AMS 運算子一律會檢閱它們。 | 
| `CustomerApprovalId: NotRequired` | AMS 變更類型系統、 | 如果 RFC 通過語法和參數檢查，則會自動核准。 | 
| `CustomerApprovalId: Required` | AMS 變更類型系統與您， | 系統會傳送通知給您，您必須透過回應通知或執行 [ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html) 操作來明確核准 RFC。 | 
| `CustomerApprovalId: NotRequiredIfSubmitter` | 如果您提交 RFC，則 AMS 變更類型系統不會有其他人。 | 如果 RFC 通過語法和參數檢查，則會自動核准。 | 
| 緊急安全事件或修補程式 | AMS | 已自動核准並實作。 | 

# 變更類型版本
<a name="ct-versions"></a>

變更類型會進行版本控制，並在對變更類型進行主要更新時變更版本。

使用 AMS 主控台選取變更類型之後，您可以選擇開啟**其他組態**區域並選取變更類型版本。您也可以在 API/CLI 命令列指定變更類型版本。您可能會因為各種原因而想要這樣做，包括：
+ 您知道您想要的**更新**變更類型版本必須符合您用來建立現在要更新之資源的**建立**變更類型版本。例如，您可能有一個使用 ELB 建立變更類型版本 1 建立的 Elastic Load Balancer (ELB) 執行個體。若要更新它，請選擇 ELB 更新第 1 版。
+ 您想要使用的變更類型版本，其中包含與最新變更類型不同的選項。我們不建議這麼做，因為 AMS 更新變更類型主要基於安全考量，建議您一律選擇最新版本。

# 建立變更類型
<a name="ct-creates"></a>

建立變更類型會比對version-to-version與更新變更類型。也就是說，您用來佈建資源的變更類型版本必須符合稍後用來修改該資源的更新變更類型版本。例如，如果您使用建立 S3 儲存貯體變更類型 2.0 版建立 S3 儲存貯體，且稍後想要提交 RFC 來修改該 S3 儲存貯體，則您也必須使用更新 S3 儲存貯體變更類型 2.0 版，即使更新 S3 儲存貯體變更類型具有 3.0 版。

我們建議您保留在佈建具有建立變更類型的資源時所使用的變更類型 ID 和版本記錄，以防您稍後想要使用更新變更類型進行修改。

# 更新變更類型
<a name="ct-updates"></a>

AMS 提供更新變更類型，以更新使用建立變更類型建立的資源。更新變更類型必須與最初用於佈建資源version-to-version的建立變更類型相符。

建議您保留您在佈建資源時所使用的變更類型 ID 和版本記錄，以便輕鬆更新。

**YouTube 影片**：[如何使用更新 CTs來變更 AWS Managed Services (AMS) 帳戶中的資源？](https://www.youtube.com/watch?v=dqb31yaAXhc&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=8&t=30s)

# 僅限內部的變更類型
<a name="ct-internals"></a>

您可以查看僅供內部使用的變更類型。這是為了讓您知道 AMS 可以或會採取哪些動作。如果您想要有僅供內部使用的變更類型，請提交服務請求。

例如，有一個管理 \$1 監控和通知 \$1 CloudWatch 警示抑制 \$1 更新僅限內部的 CT。AMS 會使用它來部署基礎設施更新 （例如修補），以關閉更新可能錯誤觸發的警示通知。提交此 CT 時，您會在 RFC 清單中注意到 CT 的 RFC。在 RFC 中部署的任何僅限內部 CT 都會顯示在 RFC 清單中。

# 變更類型結構描述
<a name="ct-schemas"></a>

所有變更類型都會為資源的建立、修改或存取中的輸入提供 JSON 結構描述。結構描述提供參數及其描述，供您建立變更請求 (RFC)。

成功執行 RFC 會產生執行輸出。對於佈建 RFCs，執行輸出包含代表 CloudFormation 中堆疊的 "stack\$1id"，並且可以在 CloudFormation 主控台中搜尋。執行輸出有時包含所建立執行個體 ID 的輸出，該 ID 可用於在對應的 AWS 主控台中搜尋執行個體。例如，建立 ELB CT 執行輸出包含可在 CloudFormation 中搜尋的 "stack\$1id"，並輸出可在 Elastic Load Balancing 的 Amazon EC2 主控台中搜尋的 key=ELB value=<stack-xxxx>。

讓我們檢查 CT 結構描述。這是 CodeDeploy Application Create 的結構描述，這是一個相當小的結構描述。有些結構描述的區域非常大`Parameter`。


****  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/ct-schemas.html)

**注意**  
此結構描述最多允許七個標籤；不過，EC2、EFS、RDS 和多層建立結構描述最多允許 50 個標籤。

# 管理變更類型的許可
<a name="ct-permissions"></a>

您可以使用自訂政策來限制哪些變更類型 CTs) 可供不同的群組或使用者使用。

若要進一步了解如何執行此作業，請參閱 AMS 使用者指南一節[設定許可](https://docs.aws.amazon.com/managedservices/latest/userguide/setting-permissions.html)。

# 從變更類型編輯敏感資訊
<a name="ct-redaction"></a>

AMS 變更類型結構描述提供參數屬性，`"metadata":"ams:sensitive":"true"`用於包含敏感資訊的參數，例如密碼。設定此屬性時，提供的輸入會隱藏。請注意，您無法設定此參數屬性；不過，如果您使用 AMS 來建立變更類型，並具有您想要在輸入時隱藏的參數，您可以請求此參數。

# 使用查詢選項尋找變更類型
<a name="ug-find-ct-ex-section"></a>

此範例示範如何使用 AMS 主控台來尋找您要提交之 RFC 的適當變更類型。

您可以使用 主控台或 API/CLI 來尋找變更類型 ID (CT) 或版本。有兩種方法：搜尋或選擇分類。對於這兩種選擇類型，您可以選擇**最常使用**、**最近使用**或**按字母順序**排序搜尋。

**YouTube 影片**：[如何使用 AWS Managed Services CLI 建立 RFC，以及在哪裡可以找到 CT 結構描述？](https://www.youtube.com/watch?v=IluDFwnJJFU&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=3&t=150s) 

在 AMS 主控台的 **RFCs** -> **建立 RFC** 頁面上：
+ 選取**依變更類型瀏覽** （預設） 時：
  + 使用**快速建立**區域從 AMS 最熱門CTs 中選取。按一下標籤，隨即開啟**執行 RFC** 頁面，並自動為您填入**主旨**選項。視需要完成其餘選項，然後按一下**執行**以提交 RFC。
  + 或者，向下捲動至**所有變更類型**區域，並開始在選項方塊中輸入 CT 名稱，您不需要具有確切或完整的變更類型名稱。您也可以輸入相關字詞，依變更類型 ID、分類或執行模式 （自動或手動） 搜尋 CT。

    選取預設**卡**檢視後，相符的 CT 卡會在您輸入時顯示，選取卡片並按一下**建立 RFC**。選取**資料表**檢視後，選擇相關的 CT，然後按一下**建立 RFC**。這兩種方法都會開啟**執行 RFC** 頁面。
+ 或者，若要探索變更類型選擇，請按一下頁面頂端的**依類別選擇**，以開啟一系列的下拉式清單選項方塊。
+ 選擇**類別**、**子類別**、**項目**和**操作**。該變更類型的資訊方塊會顯示頁面底部的面板。
+ 當您準備好時，請按 **Enter**，並顯示相符的變更類型清單。
+ 從清單中選擇變更類型。該變更類型的資訊方塊會出現在頁面底部。
+ 在您擁有正確的變更類型之後，請選擇**建立 RFC**。
**注意**  
必須安裝 AMS CLI，這些命令才能運作。若要安裝 AMS API 或 CLI，請前往 AMS 主控台**開發人員資源**頁面。如需 AMS CM API 或 AMS SKMS API 的參考資料，請參閱《 使用者指南》中的 AMS 資訊資源一節。您可能需要新增身分驗證`--profile`選項，例如 `aws amsskms ams-cli-command --profile SAML`。您可能還需要新增 `--region`選項，因為所有 AMS 命令都用盡 us-east-1；例如 `aws amscm ams-cli-command --region=us-east-1`。
**注意**  
AMS API/CLI (amscm 和 amsskms) 端點位於 AWS N. Virginia 區域 `us-east-1`。根據身分驗證的設定方式，以及您的帳戶和資源所在的 AWS 區域，您可能需要在發出命令`--region us-east-1`時新增 。如果這是您的身分驗證方法`--profile saml`，您可能還需要新增 。

若要使用 AMS CM API （請參閱 [ListChangeTypeClassificationSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html)) 或 CLI 搜尋變更類型：

您可以使用篩選條件或查詢來搜尋。ListChangeTypeClassificationSummaries 操作具有 `Category`、`Item`、 `Subcategory`和 的[篩選條件](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html#amscm-ListChangeTypeClassificationSummaries-request-Filters)選項`Operation`，但值必須完全符合現有的值。若要在使用 CLI 時獲得更靈活的結果，您可以使用 `--query`選項。


**使用 AMS CM API/CLI 變更類型篩選**  
<a name="ct-filtering-table"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/ug-find-ct-ex-section.html)

1. 以下是列出變更類型分類的一些範例：

   下列命令會列出所有變更類型類別。

   ```
   aws amscm list-change-type-categories
   ```

   下列命令會列出屬於指定類別的子類別。

   ```
   aws amscm list-change-type-subcategories --category CATEGORY
   ```

   下列命令會列出屬於指定類別和子類別的項目。

   ```
   aws amscm list-change-type-items --category CATEGORY --subcategory SUBCATEGORY
   ```

1. 以下是使用 CLI 查詢搜尋變更類型的一些範例：

   下列命令會搜尋項目名稱中包含 "S3" 的 CT 分類摘要，並以資料表形式建立類別、子類別、項目、操作和變更類型 ID 的輸出。

   ```
   aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains(Item, 'S3')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
   ```

   ```
   +---------------------------------------------------------------+
   |               ListChangeTypeClassificationSummaries           |
   +----------+-------------------------+--+------+----------------+
   |Deployment|Advanced Stack Components|S3|Create|ct-1a68ck03fn98r|
   +----------+-------------------------+--+------+----------------+
   ```

1. 然後，您可以使用變更類型 ID 來取得 CT 結構描述並檢查參數。下列命令會將結構描述輸出至名為 CreateS3Params.schema.json.

   ```
   aws amscm get-change-type-version --change-type-id "ct-1a68ck03fn98r" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateS3Params.schema.json
   ```

   如需有關使用 CLI 查詢的資訊，請參閱[如何使用 --query Option 篩選輸出](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter)和查詢語言參考 [JMESPath Specification](http://jmespath.org/specification.html)。

1. 在您擁有變更類型 ID 之後，建議您驗證變更類型的版本，以確保它是最新版本。使用此命令來尋找指定變更類型的版本：

   ```
   aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CHANGE_TYPE_ID
   ```

   若要尋找`AutomationStatus`特定變更類型的 ，請執行此命令：

   ```
   aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
   ```

   若要尋找`ExpectedExecutionDurationInMinutes`特定變更類型的 ，請執行此命令：

   ```
   aws amscm --profile saml get-change-type-version --change-type-id ct-14027q0sjyt1h --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
   ```

# 針對 AMS 中的 RFC 錯誤進行故障診斷
<a name="rfc-troubleshoot"></a>

許多 AMS 佈建 RFC 失敗可以透過 CloudFormation 文件進行調查。請參閱[對 AWS CloudFormation 進行故障診斷：對錯誤進行故障診斷](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors)

以下各節提供其他疑難排解建議。

## AMS 中的「管理」RFC 錯誤
<a name="rfc-access-failure"></a>

AMS「管理」類別變更類型 CTs) 可讓您請求存取資源，以及管理現有的資源。本節說明一些常見問題。

### RFC 存取錯誤
<a name="rfc-access-failure"></a>
+ 請確定您在 RFC 中指定的使用者名稱和 FQDN 正確且存在於網域中。如需尋找 FQDN 的說明，請參閱[尋找 FQDN](https://docs.aws.amazon.com/managedservices/latest/userguide/find-FQDN.html)。
+ 請確定您為存取指定的堆疊 ID 是 EC2-related堆疊。ELB 和 Amazon Simple Storage Service (S3) 等堆疊不是存取 RFCs的候選項目，而是使用您的唯讀存取角色來存取這些堆疊資源。如需尋找堆疊 ID 的說明，請參閱[尋找堆疊 IDs](https://docs.aws.amazon.com/managedservices/latest/userguide/find-stack.html)
+ 請確定您提供的堆疊 ID 正確，且屬於相關帳戶。

如需其他存取 RFC 失敗的說明，請參閱[存取管理](https://docs.aws.amazon.com/managedservices/latest/userguide/access-mgmt.html)。

**YouTube 影片**：[如何正確提出變更請求 (RFC)，以避免拒絕和失敗？](https://www.youtube.com/watch?v=IFOn4Q-5Cas&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=5&t=242s)

### RFC （手動） CT 排程錯誤
<a name="manual-ct-schedule-failure"></a>

大多數變更類型是 ExecutionMode=Automated，但有些是 ExecutionMode=Manual，這會影響您應該如何排程它們以避免 RFC 失敗。

如果您使用 AMS 主控台建立 RFCs則使用 ExecutionMode=Manual 的排程 RFC 必須設定為未來至少 24 小時執行。

AMS 旨在八小時內回應手動 CT，並會盡快對應，但實際執行 RFC 可能需要更長的時間。

### 搭配手動更新 CTs使用 RFCs
<a name="manual-ct-update-failure"></a>

當您要更新的堆疊類型有更新變更類型時，AMS Operations 會拒絕管理 \$1 其他 \$1 其他 RFCs 更新堆疊。

### RFC 刪除堆疊錯誤
<a name="rfc-delete-stack-fail"></a>

RFC 刪除堆疊失敗：如果您使用管理 \$1 標準堆疊 \$1 堆疊 \$1 刪除 CT，您會在 CloudFormation 主控台中看到具有 AMS 堆疊名稱之堆疊的詳細事件。您可以對照 AMS 主控台中的堆疊名稱來檢查堆疊。 CloudFormation 主控台提供有關失敗原因的更多詳細資訊。

在刪除堆疊之前，您應該考慮堆疊的建立方式。如果您使用 AMS CT 建立堆疊，但未新增或編輯堆疊資源，則可以預期刪除堆疊，而不會發生問題。不過，建議您先從堆疊移除任何手動新增的資源，再提交刪除堆疊 RFC。例如，如果您使用完整堆疊 CT (HA Two Tier) 建立堆疊，它會包含安全群組 - SG1。如果您接著使用 AMS 建立另一個安全群組 - SG22，並在建立為完整堆疊一部分的 SG1 中參考新的 SG2，然後使用刪除堆疊 CT 刪除堆疊，SG1 將不會刪除，因為 SG2 會參考它。

**重要**  
刪除堆疊可能會產生不想要和非預期的後果。基於此原因，AMS 偏好 \$1not\$1 代表客戶刪除堆疊或堆疊資源。請注意，AMS 只會代表您刪除無法使用適當的自動變更類型刪除的資源 （透過提交的管理 \$1 其他 \$1 其他 \$1 更新變更類型）。其他考量：  
如果資源已啟用「刪除保護」，則如果您提交管理 \$1 其他 \$1 其他 \$1 更新變更類型，則 AMS 可協助解除封鎖，並且在刪除保護移除後，您可以使用自動 CT 刪除該資源。
如果堆疊中有多個資源，而且您只要刪除一部分的堆疊資源，請使用 CloudFormation Update 變更類型 （請參閱 [CloudFormation Ingest Stack：Update](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-cfn-ingest-update-col.html))。您也可以提交管理 \$1 其他 \$1 其他 \$1 更新變更類型，如有需要，AMS 工程師可協助您製作變更集。
如果您提交管理 \$1 其他 \$1 其他 \$1 更新以解決偏離 （在 AWS CloudFormation CloudFormation Service 支援的範圍內），並提供 ChangeSet，然後您可以使用自動化 CT、管理/自訂堆疊/從 CloudFormation 範本/核准變更集和更新來驗證和執行，則 AMS 可以提供協助。
AMS 會維護上述限制，以協助確保沒有非預期或非預期的資源刪除。

如需詳細資訊，請參閱[對 AWS CloudFormation 進行故障診斷：刪除堆疊失敗](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors-delete-stack-fails)。

### RFC 更新 DNS 錯誤
<a name="rfc-update-dns-failure"></a>

更新 DNS 託管區域的多個 RFCs 可能會失敗，有些可能沒有原因。同時建立多個 RFCs以更新 DNS 託管區域 （私有或公有） 可能會導致某些 RFCs因為它們同時嘗試更新相同的堆疊。AMS 變更管理拒絕或失敗無法更新堆疊的 RFCs，因為堆疊已由另一個 RFC 更新。AMS 建議您一次建立一個 RFC，並等待 RFC 成功，然後再為相同的堆疊提出新的 RFC。

### RFC IAM 實體錯誤
<a name="making-iam-requests"></a>

AMS 會將多個預設 IAM 角色和設定檔佈建至專為滿足您的需求而設計的 AMS 帳戶。不過，您可能需要偶爾請求額外的 IAM 資源。

提交請求自訂 IAM 資源RFCs 程序遵循手動 RFCs的標準工作流程，但核准程序也包含安全審查，以確保採取適當的安全控制。因此，程序通常需要比其他手動 RFCs更長的時間。若要縮短這些 RFCs的週期時間，請遵循下列準則。

如需 IAM 審核的含義及其如何映射至技術標準和風險接受程序的資訊，請參閱 [了解 RFC 安全性審查](rfc-security.md)。

常見的 IAM 資源請求：
+ 如果您要求與主要雲端相容應用程式相關的政策，例如 CloudEndure，請參閱 AMS 預先核准的 IAM CloudEndure 政策：解壓縮 [WIGs 雲端持久性登陸區域範例](samples/wigs-ce-lz-examples.zip)檔案並開啟 `customer_cloud_endure_policy.json`
**注意**  
如果您想要更寬鬆的政策，請與您的 CloudArchitect/CSDM 討論您的需求，並視需要在提交實作政策的 RFC 之前取得 AMS 安全審查和簽署。
+ 如果您想要修改 AMS 預設在帳戶中部署的資源，建議您要求修改後的資源複本，而不是變更現有的資源複本。
+ 如果您要請求人類使用者的許可 （而不是將許可連接到使用者） 將許可連接到角色，然後授予使用者擔任該角色的許可。如需執行此操作的詳細資訊，請參閱[暫時 AMS Advanced 主控台存取](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html)。
+ 如果您需要臨時遷移或工作流程的特殊許可，請在請求中提供這些許可的結束日期。
+ 如果您已與安全團隊討論請求的主旨，請盡可能向 CSDM 提供其核准的證據，並提供詳細資訊。

如果 AMS 拒絕 IAM RFC，我們會提供拒絕的明確原因。例如，我們可能會拒絕 IAM 政策建立請求，並解釋政策的不適當之處。在這種情況下，您可以進行已識別的變更並重新提交請求。如果需要進一步釐清請求的狀態，請提交服務請求，或聯絡您的 CSDM。

下列清單說明 AMS 檢閱 IAM RFCs 時嘗試緩解的典型風險。如果您的 IAM RFC 有任何這些風險，可能會導致 RFC 遭到拒絕。如果您需要例外狀況，AMS 會向您的安全團隊請求核准。若要尋求此類例外狀況，請與 CSDM 協調。

**注意**  
AMS 可能會基於任何原因拒絕對帳戶內部 IAM 資源的任何變更。如需有關 RFC 拒絕的疑慮，請透過服務請求聯絡 AMS Operations，或聯絡您的 CSDM。
+ 權限提升，例如允許您修改自己的許可，或修改帳戶中其他資源許可的許可。範例：
  + 使用 `iam:PassRole`搭配另一個更特殊權限的角色。
  + 從角色或使用者連接/移除 IAM 政策的許可。
  + 帳戶中 IAM 政策的修改。
  + 在管理基礎設施環境中進行 API 呼叫的能力。
+ 修改為您提供 AMS 服務所需的資源或應用程式的許可。範例：
  + 修改 AMS 基礎設施，例如堡壘、管理主機或 EPS 基礎設施。
  + 刪除日誌管理 AWS Lambda 函數或日誌串流。
  + 預設 CloudTrail 監控應用程式的刪除或修改。
  + Directory Services Active Directory (AD) 的修改。
  + 停用 CloudWatch (CW) 警示。
  + 修改 帳戶中部署做為登陸區域一部分的主體、政策和命名空間。
+ 在最佳實務之外部署基礎設施，例如允許在危及資訊安全的狀態下建立基礎設施的許可。範例：
  + 建立公有或未加密的 S3 儲存貯體或公開共用 EBS 磁碟區。
  + 公有 IP 地址的佈建。
  + 修改安全群組以允許廣泛存取。
+ 過於廣泛的許可，可能導致應用程式影響，例如可能導致基礎設施和帳戶中應用程式的資料遺失、完整性遺失、不當組態或服務中斷的許可。範例：
  + 透過 `ModifyNetworkInterfaceAttribute`或 等 APIs 停用或重新導向網路流量`UpdateRouteTable`。
  + 透過從受管主機分離磁碟區來停用受管基礎設施。
+ 不屬於 AMS 服務描述且 AMS 不支援的服務許可。

  AMS 服務描述中未列出的服務無法在 AMS 帳戶中使用。若要請求支援某項功能或服務，請聯絡您的 CSDM。
+ 不符合您所述目標的許可，因為這些許可太慷慨或過於保守，或是套用至錯誤的資源。範例：
  + 請求對具有強制 KMS 加密的 S3 儲存貯體的`s3:PutObject`許可，而沒有相關金鑰的`KMS:Encrypt`許可。
  + 與帳戶中不存在的資源相關的許可。
  + IAM RFCs，其中 RFC 的描述似乎不符合請求。

## 「部署」RFC 錯誤
<a name="rfc-provisioning-fail"></a>

AMS「部署」類別變更類型 CTs) 可讓您請求將各種 AMS 支援的資源新增至您的帳戶。

大多數建立資源的 AMS CTs 都是以 CloudFormation 範本為基礎。身為客戶，您可以唯讀存取所有 AWS 服務 CloudFormation，包括，您可以使用 CloudFormation 主控台，根據堆疊描述快速識別 CloudFormation 代表您堆疊的堆疊。失敗的堆疊可能處於 DELETE\$1COMPLETE 狀態。識別 CloudFormation 堆疊後，事件會顯示無法建立的特定資源，以及原因。

### 使用 CloudFormation 文件進行疑難排解
<a name="rfc-cfn-docs"></a>

大多數 AMS 佈建 RFCs使用 CloudFormation 範本，該文件有助於故障診斷。請參閱該 CloudFormation 範本的文件：
+ 建立應用程式負載平衡器失敗：[AWS::ElasticLoadBalancingV2::LoadBalancer (Application Load Balancer)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-elasticloadbalancingv2-loadbalancer.html)
+ 建立 Auto Scaling 群組：[AWS::AutoScaling::AutoScalingGroup (Auto Scaling 群組）](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-as-group.html)
+ 建立 memcached 快取：[AWS::ElastiCache::CacheCluster （快取叢集）](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html)
+ 建立 Redis 快取：[AWS::ElastiCache::CacheCluster （快取叢集）](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html)
+ 建立 DNS 託管區域 （與建立 DNS 私有/公有搭配使用）：[AWS::Route53::HostedZone (R53 託管區域）](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-route53-hostedzone.html)
+ 建立 DNS 紀錄集 （與建立 DNS 私有/公有搭配使用）：[AWS::Route53::RecordSet （資源紀錄集）](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-route53-recordset.html)
+ 建立 EC2 堆疊：[AWS::EC2::Instance （彈性運算雲端）](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-instance.html)
+ 建立彈性檔案系統 (EFS)：[AWS::EFS::FileSystem （彈性檔案系統）](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-efs-filesystem.html)
+ Create Load Balancer：[AWS::ElasticLoadBalancing::LoadBalancer (Elastic Load Balancer)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-elb.html)
+ 建立 RDS 資料庫：[AWS::RDS::DBInstance （關聯式資料庫）](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-rds-database-instance.html)
+ 建立 Amazon S3：[AWS::S3::Bucket （簡易儲存服務）](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-s3-bucket.html)
+ 建立佇列：[AWS::SQS::Queue （簡易佇列服務）](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-sqs-queues.html)

### RFC 建立 AMIs錯誤
<a name="rfc-create-ami-failure"></a>

Amazon Machine Image (AMI) 是一種範本，其中包含軟體組態 (例如作業系統、應用程式伺服器和應用程式)。您可以從 AMI 啟動執行個體，執行個體是 AMI 的複本，在雲端中以虛擬伺服器的形式執行。AMIs 非常有用，而且需要建立 EC2 執行個體或 Auto Scaling 群組；不過，您必須遵守一些需求：
+ 您為 指定的執行個體`Ec2InstanceId`必須處於停止狀態，RFC 才能成功。請勿將 Auto Scaling 群組 (ASG) 執行個體用於此參數，因為 ASG 會終止已停止的執行個體。
+ 若要建立 AMS Amazon Machine Image (AMI)，您必須從 AMS 執行個體開始。在您可以使用執行個體來建立 AMI 之前，您必須先確保其已停止並從其網域取消加入，以做好準備。如需詳細資訊，請參閱[使用 Sysprep 建立標準 Amazon Machine Image](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_EBSbacked_WinAMI.html#23ami-create-standard)
+ 您為新 AMI 指定的名稱在帳戶中必須是唯一的，否則 RFC 失敗。如何執行此操作，請參閱 [AMI \$1 建立](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html)，如需詳細資訊，請參閱 和 [AWS AMI 設計](https://aws.amazon.com/answers/configuration-management/aws-ami-design/)。

**注意**  
如需準備建立 AMI 的其他資訊，請參閱 [AMI \$1 Create](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html)。

### 建立 EC2s或 ASGs錯誤的 RFCs
<a name="rfc-create-ec2-asg-failure"></a>

對於具有逾時的 EC2 或 ASG 失敗，AMS 建議您確認使用的 AMI 是否已自訂。如果是，請參閱本指南中包含的 AMI 建立步驟 （請參閱 [AMI \$1 Create](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html))，以確保正確建立 AMI。建立自訂 AMI 時的常見錯誤未遵循指南中的步驟來重新命名或叫用 Sysprep。

### 建立 RDS RFCs
<a name="rfc-create-rds-failure"></a>

Amazon Relational Database Service (RDS) 失敗可能有許多不同的原因，因為您可以在建立 RDS 時使用許多不同的引擎，而且每個引擎都有自己的需求和限制。嘗試建立 AMS RDS 堆疊之前，請仔細檢閱 AWS RDS 參數值，請參閱 [CreateDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html)。

若要進一步了解 Amazon RDS，包括大小建議，請參閱 [Amazon Relational Database Service 文件](https://aws.amazon.com/documentation/rds/)。

### 建立 Amazon S3s 錯誤的 RFCs
<a name="rfc-create-s3-failure"></a>

建立 S3 儲存貯體時，一個常見的錯誤不是使用儲存貯體的唯一名稱。如果您提交的名稱與先前提交的名稱相同的 S3 儲存貯體建立 CT，將會失敗，因為該 BucketName 中已有 S3 儲存貯體。這將在 CloudFormation 主控台中詳細說明，您將在其中看到堆疊事件顯示儲存貯體名稱已在使用中。

## RFC 驗證與執行錯誤
<a name="rfc-valid-execute-errors"></a>

RFC 失敗和相關訊息在所選 RFC 的 AMS 主控台 RFC 詳細資訊頁面上的輸出訊息中不同：
+ 驗證失敗原因僅適用於狀態欄位
+ 執行失敗原因可在執行輸出和狀態欄位中取得。

![\[Request for change details showing rejected status due to no domain trust found.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/rfcReason.png)


## RFC 錯誤訊息
<a name="rfc-error-messages"></a>

當您遇到下列所列變更類型 (CTs的錯誤時，您可以使用這些解決方案來協助您尋找問題來源並加以修正。

`{"errorMessage":"An error has occurred during RFC execution. We are investigating the issue.","errorType":"InternalError"}`

如果您在參考下列疑難排解選項後需要進一步協助，請透過 RFC 通訊與 AMS 互動。如需詳細資訊，請參閱 [RFC Correspondence and Attachment （主控台）](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence)。

### 工作負載擷取 (WIGS) 錯誤
<a name="rfc-valid-execute-wigs"></a>

**注意**  
您可以下載適用於 Windows 和 Linux 的驗證工具，並直接在內部部署伺服器以及 AWS 中的 EC2 執行個體上執行。這些可透過 *AMS 進階應用程式開發人員指南*[的遷移工作負載：Linux 擷取前驗證](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-linux-validation.html)和[遷移工作負載：Windows 擷取前驗證](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-win-validation.html)找到。
+ 確定 EC2 執行個體存在於目標 AMS 帳戶中。例如，如果您已將 AMI 從非 AMS 帳戶共用到 AMS 帳戶，您必須先使用共用 AMI 在 AMS 帳戶中建立 EC2 執行個體，才能提交工作負載擷取 RFC。
+ 檢查連接至執行個體的安全群組是否允許輸出流量。SSM 代理程式需要能夠連線到其公有端點。
+ 檢查執行個體是否具有與 SSM 代理程式連線的正確許可。這些許可隨附於 `customer-mc-ec2-instance-profile`，您可以在 EC2 主控台中檢查此項目：  
![\[EC2 instance details showing IAM role set to customer-mc-ec2-instance-profile.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/ec2ConsoleWCircle.png)

### EC2 執行個體堆疊停止錯誤
<a name="rfc-valid-execute-ec2-stop"></a>
+ 檢查執行個體是否已處於已停止或終止狀態。
+ 如果 EC2 執行個體在線上且您看到`InternalError`錯誤，請提交服務請求讓 AMS 進行調查。
+ 請注意，您無法使用變更類型管理 \$1 進階堆疊元件 \$1 EC2 執行個體堆疊 \$1 停止 ct-3mvt2zkyveqj 來停止 Auto Scaling 群組 (ASG) 執行個體。如果您需要停止 ASG 執行個體，請提交服務請求。

### EC2 執行個體堆疊建立錯誤
<a name="rfc-valid-execute-ec2-create"></a>

`InternalError` 訊息來自 CloudFormation；CREATION\$1FAILED 狀態原因。您可以依照下列步驟，在 CloudWatch 堆疊事件中找到堆疊失敗的詳細資訊：
+ 在 AWS 管理主控台中，您可以在建立、更新或刪除堆疊時檢視堆疊事件的清單。從這個清單中找到故障的事件，然後檢視該事件的狀態原因。

  狀態原因可能包含來自 AWS CloudFormation 或特定服務的錯誤訊息，可協助您了解問題。
+ 如需檢視堆疊事件的詳細資訊，請參閱 [ AWS 管理主控台上的檢視 AWS CloudFormation 堆疊資料和資源](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html)。

### EC2 執行個體磁碟區還原錯誤
<a name="rfc-ec2-vol-restore-ec2-fail"></a>

當 EC2 執行個體磁碟區還原失敗時，AMS 會建立內部故障診斷 RFC。這是因為 EC2 執行個體磁碟區還原是災難復原 (DR) 的重要部分，而 AMS 會自動為您建立此內部故障診斷 RFC。

建立內部故障診斷 RFC 時，會顯示橫幅，為您提供 RFC 的連結。此內部故障診斷 RFC 可讓您更清楚地了解 RFC 失敗，而不是提交導致相同錯誤的重試 RFCs，或讓您針對此失敗手動聯絡 AMS，您可以追蹤您的變更，並知道 AMS 正在處理失敗。這也會減少其變更time-to-recovery (TTR) 指標，因為 AMS Operators 會主動處理 RFC 失敗，而不是等待您的請求。

## 如何取得 RFC 的說明
<a name="rfc-escalate"></a>

您可以聯絡 AMS 來識別失敗的根本原因。AMS 營業時間為一年 365 天、每週 7 天、每天 24 小時。

AMS 提供多種管道供您尋求協助。
+ 如果您需要對已完成但不正確的開放 RFC 或 RFC 的協助，請透過 RFC 雙向通訊與 AMS 互動。如需詳細資訊，請參閱 [RFC Correspondence and Attachment （主控台）](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence)。
+ 若要報告影響受管環境的 AWS 或 AMS 服務效能問題，請使用 AMS 主控台並提交事件報告。如需詳細資訊，請參閱[報告事件](https://docs.aws.amazon.com/managedservices/latest/userguide/gui-ex-report-incident.html)。如需 AMS 事件管理的一般資訊，請參閱[事件回應](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html)。
+ 有關您或您的資源或應用程式如何使用 AMS 的特定問題，或要呈報事件，請傳送電子郵件至下列一或多個：

  1. 首先，如果您不滿意服務請求或事件報告回應，請傳送電子郵件給 CSDM：ams-csdm@amazon.com

  1. 接下來，如果需要呈報，您可以傳送電子郵件給 AMS Operations Manager （但您的 CSDM 可能會這樣做）：ams-opsmanager@amazon.com

  1. 進一步呈報將向 AMS Director 呈報：ams-director@amazon.com

  1. 最後，您可以隨時聯絡 AMS VP：ams-vp@amazon.com