翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 直接変更モードの開始方法
<a name="dcm-get-started"></a>

まず前提条件を確認してから、対象となる AMS Advanced アカウントで変更リクエスト (RFC) を送信します。

1. DCM で使用するアカウントが要件を満たしていることを確認します。
   + アカウントは AMS Advanced Plus または Premium です。
   + アカウントで Service Catalog が有効になっていません。現在、DCM と Service Catalog の両方へのアカウントのオンボーディングはサポートされていません。Service Catalog に既にオンボーディングされているが DCM に関心がある場合は、クラウドサービスデリバリーマネージャー (CSDM) とニーズについて話し合ってください。Service Catalog から DCM に切り替える場合は、Service Catalog をオフボードして変更を依頼してください。AMS での Service Catalog の詳細については、「[AMS と Service Catalog](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html)」を参照してください。

1. Management \$1 Managed Account \$1 Direct Change Mode \$1 Enable change type (ct-3rd4781c2nnhp) を使用して、変更リクエスト (RFC) を送信します。チュートリアルの例については、[「直接変更モード \$1 有効化](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html)」を参照してください。

   CT が処理されると、事前定義された IAM ロール`AWSManagedServicesCloudFormationAdminRole`と `AWSManagedServicesUpdateRole`が指定されたアカウントにプロビジョニングされます。

1. 内部フェデレーションプロセスを使用して DCM アクセスを必要とするユーザーに適切なロールを割り当てます。

**注記**  
ロールを引き受けるには、任意の数の SAMLIdentityProviders、 AWS Services、IAM エンティティ (ロール、ユーザーなど) を指定できます。、`SAMLIdentityProviderARNs`、`IAMEntityARNs`または の少なくとも 1 つを指定する必要があります`AWSServicePrincipals`。詳細については、会社の IAM 部門または AMS クラウドアーキテクト (CA) にお問い合わせください。

## 直接変更モードの IAM ロールとポリシー
<a name="dcm-gs-iam-roles-and-policies"></a>

アカウントで直接変更モードが有効になっている場合、これらの新しい IAM エンティティがデプロイされます。

`AWSManagedServicesCloudFormationAdminRole`: このロールは、CloudFormation コンソールへのアクセス、CloudFormation スタックの作成と更新、ドリフトレポートの表示、CloudFormation ChangeSets の作成と実行を許可します。このロールへのアクセスは、SAML プロバイダーを通じて管理されます。

ロール`AWSManagedServicesCloudFormationAdminRole`にデプロイおよびアタッチされる管理ポリシーは次のとおりです。
+ AMS Advanced マルチアカウントランディングゾーン (MALZ) アプリケーションアカウント
  + AWSManagedServices\$1CloudFormationAdminPolicy1
  + AWSManagedServices\$1CloudFormationAdminPolicy2
    + このポリシーは、 に付与されたアクセス許可を表します`AWSManagedServicesCloudFormationAdminRole`。このポリシーを使用して、アカウント内の既存のロールへのアクセスを許可し、そのロールがアカウント内の CloudFormation スタックを起動および更新できるようにします。これには、他の IAM エンティティが CloudFormation スタックを起動できるように、追加の AMS サービスコントロールポリシー (SCP) 更新が必要になる場合があります。
+ AMS Advanced シングルアカウントランディングゾーン (SALZ) アカウント
  + AWSManagedServices\$1CloudFormationAdminPolicy1
  + AWSManagedServices\$1CloudFormationAdminPolicy2
  + cdk-legacy-mode-s3-access [インラインポリシー〕
  + AWS ReadOnlyAccess ポリシー

`AWSManagedServicesUpdateRole`: このロールは、ダウンストリーム AWS サービス APIs への制限付きアクセスを許可します。ロールは、変更および非変更 API オペレーションを提供する マネージドポリシーでデプロイされますが、一般的には、IAM、KMS、GuardDuty、VPC、AMS インフラストラクチャリソースや設定などの特定のサービスに対して変更オペレーション (Create/Delete/PUT など) を制限します。このロールへのアクセスは、SAML プロバイダーを通じて管理されます。

ロール`AWSManagedServicesUpdateRole`にデプロイおよびアタッチされる管理ポリシーは次のとおりです。
+ AMS Advanced マルチアカウントランディングゾーンアプリケーションアカウント
  + AWSManagedServicesUpdateBasePolicy 
  + AWSManagedServicesUpdateDenyPolicy 
  + AWSManagedServicesUpdateDenyProvisioningPolicy 
  + AWSManagedServicesUpdateEC2AndRDSPolicy 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy
+ AMS Advanced シングルアカウントランディングゾーンアカウント
  + AWSManagedServicesUpdateBasePolicy 
  + AWSManagedServicesUpdateDenyProvisioningPolicy 
  + AWSManagedServicesUpdateEC2AndRDSPolicy 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy1 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy2

これらに加えて、 マネージドポリシー`AWSManagedServicesUpdateRole`ロールには AWS マネージドポリシーもア`ViewOnlyAccess`タッチされています。