本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 安全與合規
<a name="dcm-security-n-compliance"></a>

安全與合規是 AMS Advanced 與身為客戶的您共同的責任。AMS Advanced Direct Change 模式不會變更此共同責任。

## 直接變更模式中的安全性
<a name="dcm-security"></a>

AMS Advanced 提供具有規範登陸區域、變更管理系統和存取管理的額外值。使用直接變更模式時，此責任模型不會變更。不過，您應該知道其他風險。

直接變更模式「更新」角色 （請參閱[直接變更模式 IAM 角色和政策](dcm-get-started.md#dcm-gs-iam-roles-and-policies)) 提供提升的許可，允許可存取該角色的實體變更帳戶中 AMS 支援服務的基礎設施資源。隨著許可提高，根據資源、服務和動作，存在各種風險，尤其是在由於監督、錯誤或未能遵守內部程序和控制架構而導致不正確的變更的情況下。

根據 AMS 技術標準，已識別下列風險並提出建議，如下所示。有關 AMS 技術標準的詳細資訊可透過 取得 AWS Artifact。若要存取 AWS Artifact，請聯絡您的 CSDM 以取得指示，或前往 [入門 AWS Artifact](https://aws.amazon.com/artifact/getting-started)。

**AMS-STD-001：標記**

<a name="AMS-STD-001"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/dcm-security-n-compliance.html)

**AMS-STD-002：身分與存取管理 (IAM)**


| 標準 | 是否會中斷 | 風險 | 建議 | 
| --- | --- | --- | --- | 
| 4.7 不允許繞過變更管理程序 (RFC) 的動作，例如啟動或停止執行個體、建立 S3 儲存貯體或 RDS 執行個體等。只要在指派角色的邊界內執行動作，開發人員模式帳戶和自助式佈建模式服務 (SSPS) 就會豁免。 | 是。自助服務動作的目的可讓您執行繞過 AMS RFC 系統的動作。 | 安全存取模型是 AMS 的核心技術面向，而主控台或程式設計存取的 IAM 使用者會規避此存取控制。AMS 變更管理不會監控 IAM 使用者存取權。存取只會記錄在 CloudTrail 中。 | IAM 使用者應該有時間限制，並根據最低權限和need-to-know授予許可。 | 

**AMS-STD-003：網路安全**

<a name="AMS-STD-003"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/dcm-security-n-compliance.html)

**AMS-STD-007：記錄**

<a name="AMS-STD-007"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/dcm-security-n-compliance.html)

與您的內部授權和身分驗證團隊合作，相應地控制直接變更模式角色的許可。

## 直接變更模式下的合規
<a name="dcm-compliance"></a>

直接變更模式與生產和非生產工作負載相容。您有責任確保遵守任何合規標準 （例如 PHI、HIPAA、PCI)，並確保使用直接變更模式符合您的內部控制架構和標準。