Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Guida introduttiva alla modalità Direct Change
<a name="dcm-get-started"></a>

Inizia controllando i prerequisiti e poi inviando una richiesta di modifica (RFC) nel tuo account AMS Advanced idoneo.

1. Verifica che l'account che desideri utilizzare con DCM soddisfi i requisiti:
   + L'account è AMS Advanced Plus o Premium.
   + L'account non ha Service Catalog abilitato. Al momento non supportiamo l'onboarding degli account sia su DCM che su Service Catalog allo stesso tempo. Se hai già effettuato l'accesso a Service Catalog ma sei interessato a DCM, discuti le tue esigenze con il tuo cloud service delivery manager (CSDM). Se decidi di passare da Service Catalog a DCM, offboard Service Catalog, per farlo, includi la richiesta nella richiesta di modifica riportata di seguito. Per informazioni dettagliate su Service Catalog in AMS, consulta [AMS and Service Catalog](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html).

1. Invia una richiesta di modifica (RFC) utilizzando la modalità Gestione \$1 Account gestito \$1 Modifica diretta \$1 Abilita il tipo di modifica (ct-3rd4781c2nnhp). [Per un esempio di procedura dettagliata, consulta la modalità Direct Change \$1 Enable.](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html)

   Dopo l'elaborazione del CT, i ruoli IAM predefiniti `AWSManagedServicesUpdateRole` vengono assegnati all'account specificato. `AWSManagedServicesCloudFormationAdminRole`

1. Assegna il ruolo appropriato agli utenti che richiedono l'accesso a DCM utilizzando il processo di federazione interno. 

**Nota**  
È possibile specificare un numero qualsiasi di SAMLIdentity provider, AWS servizi ed entità IAM (ruoli, utenti, ecc.) per assumere i ruoli. È necessario fornire almeno uno: `SAMLIdentityProviderARNs``IAMEntityARNs`, o`AWSServicePrincipals`. Per ulteriori informazioni, rivolgiti al dipartimento IAM della tua azienda o al tuo architetto cloud AMS (CA).

## Ruoli e politiche IAM in modalità Direct Change
<a name="dcm-gs-iam-roles-and-policies"></a>

Quando la modalità Direct Change è abilitata in un account, vengono implementate queste nuove entità IAM:

`AWSManagedServicesCloudFormationAdminRole`: Questo ruolo consente l'accesso alla CloudFormation console, la creazione e l'aggiornamento degli CloudFormation stack, la visualizzazione dei report sulle deviazioni e la creazione e l'esecuzione. CloudFormation ChangeSets L'accesso a questo ruolo è gestito tramite il tuo provider SAML.

Le politiche gestite che vengono implementate e associate al ruolo `AWSManagedServicesCloudFormationAdminRole` sono:
+ Account applicativo AMS Advanced multi-account landing zone (MALZ)
  + AWSManagedServices\$1CloudFormationAdminPolicy1
  + AWSManagedServices\$1CloudFormationAdminPolicy2
    + Questa politica rappresenta le autorizzazioni concesse a. `AWSManagedServicesCloudFormationAdminRole` Tu e i tuoi partner utilizzate questa politica per concedere l'accesso a un ruolo esistente nell'account e consentire a tale ruolo di avviare e aggiornare gli CloudFormation stack nell'account. Ciò potrebbe richiedere aggiornamenti aggiuntivi della politica di controllo dei servizi AMS (SCP) per consentire ad altre entità IAM di avviare CloudFormation stack.
+ Account di landing zone con account singolo AMS Advanced (SALZ)
  + AWSManagedServices\$1CloudFormationAdminPolicy1
  + AWSManagedServices\$1CloudFormationAdminPolicy2
  + cdk-legacy-mode-s3 accessi [politica in linea]
  + AWS ReadOnlyAccess politica

`AWSManagedServicesUpdateRole`: Questo ruolo garantisce un accesso limitato al servizio downstream AWS . APIs Il ruolo viene implementato con policy gestite che forniscono operazioni API mutanti e non mutanti, ma in generale limita le operazioni mutanti (ad esempioCreate/Delete/PUT) rispetto a determinati servizi come IAM, KMS, GuardDuty VPC, risorse e configurazione dell'infrastruttura AMS e così via. L'accesso a questo ruolo è gestito tramite il tuo provider SAML.

Le politiche gestite che vengono implementate e associate al ruolo `AWSManagedServicesUpdateRole` sono:
+ Account applicativo AMS Advanced multi-account per la landing zone
  + AWSManagedServicesUpdateBasePolicy 
  + AWSManagedServicesUpdateDenyPolicy 
  + AWSManagedServicesUpdateDenyProvisioningPolicy 
  + AWSManagedServicesUpdateEC2E RDSPolicy 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitica
+ Account di landing zone AMS Advanced con account singolo
  + AWSManagedServicesUpdateBasePolicy 
  + AWSManagedServicesUpdateDenyProvisioningPolicy 
  + AWSManagedServicesUpdateEC2E RDSPolicy 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitica 1 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitica 2

Oltre a questi, al `AWSManagedServicesUpdateRole` ruolo di policy gestita è `ViewOnlyAccess` associata anche la policy AWS gestita.