本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 直接變更模式入門
<a name="dcm-get-started"></a>

首先檢查先決條件，然後在符合資格的 AMS Advanced 帳戶中提交變更請求 (RFC)。

1. 確認您要與 DCM 搭配使用的帳戶符合需求：
   + 帳戶為 AMS Advanced Plus 或 Premium。
   + 帳戶未啟用 Service Catalog。我們目前不支援同時將帳戶加入 DCM 和服務目錄。如果您已加入 Service Catalog，但對 DCM 感興趣，請與您的雲端服務交付管理員 (CSDM) 討論您的需求。如果您決定從 Service Catalog 切換到 DCM、離機 Service Catalog，若要這樣做，請在下面的變更請求中加入 ask。如需 AMS 中 Service Catalog 的詳細資訊，請參閱 [AMS 和服務目錄](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html)。

1. 使用 管理 \$1 受管帳戶 \$1 直接變更模式 \$1 啟用變更類型 (ct-3rd4781c2nnhp) 提交變更請求 (RFC)。如需逐步解說範例，請參閱[直接變更模式 \$1 啟用](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html)。

   處理 CT 之後，預先定義的 IAM 角色`AWSManagedServicesCloudFormationAdminRole`和 `AWSManagedServicesUpdateRole` 會在指定的帳戶中佈建。

1. 使用內部聯合程序，將適當的角色指派給需要 DCM 存取的使用者。

**注意**  
您可以指定任意數量的 SAMLIdentityProviders、 AWS Services 和 IAM 實體 （角色、使用者等） 來擔任角色。您必須提供至少一個：`SAMLIdentityProviderARNs`、 `IAMEntityARNs`或 `AWSServicePrincipals`。如需詳細資訊，請洽詢您公司的 IAM 部門或 AMS 雲端架構師 (CA)。

## 直接變更模式 IAM 角色和政策
<a name="dcm-gs-iam-roles-and-policies"></a>

在帳戶中啟用直接變更模式時，會部署這些新的 IAM 實體：

`AWSManagedServicesCloudFormationAdminRole`：此角色會授予 CloudFormation 主控台的存取權、建立和更新 CloudFormation 堆疊、檢視偏離報告，以及建立和執行 CloudFormation ChangeSets。存取此角色是透過 SAML 供應商管理。

部署並連接到角色`AWSManagedServicesCloudFormationAdminRole`的受管政策如下：
+ AMS 進階多帳戶登陸區域 (MALZ) 應用程式帳戶
  + AWSManagedServices\$1CloudFormationAdminPolicy1
  + AWSManagedServices\$1CloudFormationAdminPolicy2
    + 此政策代表授予 的許可`AWSManagedServicesCloudFormationAdminRole`。您和合作夥伴使用此政策來授予帳戶中現有角色的存取權，並允許該角色啟動和更新帳戶中的 CloudFormation 堆疊。這可能需要額外的 AMS 服務控制政策 (SCP) 更新，以允許其他 IAM 實體啟動 CloudFormation 堆疊。
+ AMS 進階單一帳戶登陸區域 (SALZ) 帳戶
  + AWSManagedServices\$1CloudFormationAdminPolicy1
  + AWSManagedServices\$1CloudFormationAdminPolicy2
  + cdk-legacy-mode-s3-access 【內嵌政策】
  + AWS ReadOnlyAccess 政策

`AWSManagedServicesUpdateRole`：此角色會授予下游 AWS 服務 APIs的限制存取權。該角色部署的受管政策提供變動和非變動 API 操作，但通常限制變動操作 （例如Create/Delete/PUT) 對某些服務，例如 IAM、KMS、GuardDuty、VPC、AMS 基礎設施資源和組態等。此角色的存取是透過 SAML 供應商管理。

部署並連接到角色`AWSManagedServicesUpdateRole`的受管政策包括：
+ AMS 進階多帳戶登陸區域應用程式帳戶
  + AWSManagedServicesUpdateBasePolicy 
  + AWSManagedServicesUpdateDenyPolicy 
  + AWSManagedServicesUpdateDenyProvisioningPolicy 
  + AWSManagedServicesUpdateEC2AndRDSPolicy 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy
+ AMS 進階單一帳戶登陸區域帳戶
  + AWSManagedServicesUpdateBasePolicy 
  + AWSManagedServicesUpdateDenyProvisioningPolicy 
  + AWSManagedServicesUpdateEC2AndRDSPolicy 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy1 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy2

除此之外，受管政策`AWSManagedServicesUpdateRole`角色還`ViewOnlyAccess`連接了 AWS 受管政策。