As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Introdução ao modo Direct Change
<a name="dcm-get-started"></a>

Comece verificando os pré-requisitos e, em seguida, enviando uma solicitação de alteração (RFC) em sua conta qualificada do AMS Advanced.

1. Confirme se a conta que você deseja usar com o DCM atende aos requisitos:
   + A conta é AMS Advanced Plus ou Premium.
   + A conta não tem o Service Catalog ativado. Atualmente, não oferecemos suporte à integração de contas no DCM e no Service Catalog ao mesmo tempo. Se você já está integrado ao Service Catalog, mas está interessado no DCM, discuta suas necessidades com seu gerente de prestação de serviços em nuvem (CSDM). Se você decidir mudar do Service Catalog para o DCM, fora do Service Catalog, para fazer isso, inclua a solicitação na solicitação de alteração abaixo. Para obter detalhes sobre o Service Catalog no AMS, consulte [AMS e Service Catalog](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html).

1. Envie uma solicitação de alteração (RFC) usando o Gerenciamento \$1 Conta gerenciada \$1 Modo de alteração direta \$1 Ativar tipo de alteração (ct-3rd4781c2nnhp). Para ver um exemplo de apresentação, consulte [Modo de mudança direta \$1](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html) Ativar.

   Depois que a CT é processada, o IAM predefinido funciona `AWSManagedServicesCloudFormationAdminRole` e `AWSManagedServicesUpdateRole` é provisionado na conta especificada.

1. Atribua a função apropriada aos usuários que precisam de acesso ao DCM usando seu processo interno de federação. 

**nota**  
Você pode especificar qualquer número de SAMLIdentity provedores, AWS serviços e entidades do IAM (funções, usuários etc.) para assumir as funções. Você deve fornecer pelo menos um:`SAMLIdentityProviderARNs`,`IAMEntityARNs`, ou`AWSServicePrincipals`. Para obter mais informações, consulte o departamento de IAM da sua empresa ou o arquiteto de nuvem (CA) do AMS.

## Funções e políticas do IAM do modo Direct Change
<a name="dcm-gs-iam-roles-and-policies"></a>

Quando o modo Direct Change é ativado em uma conta, essas novas entidades do IAM são implantadas:

`AWSManagedServicesCloudFormationAdminRole`: essa função concede acesso ao CloudFormation console, cria e atualiza CloudFormation pilhas, visualiza relatórios de deriva e cria e executa. CloudFormation ChangeSets O acesso a essa função é gerenciado por meio do seu provedor de SAML.

As políticas gerenciadas que são implantadas e anexadas à função `AWSManagedServicesCloudFormationAdminRole` são:
+ Conta do aplicativo AMS Advanced multi-account landing zone (MALZ)
  + AWSManagedServices\$1CloudFormationAdminPolicy1
  + AWSManagedServices\$1CloudFormationAdminPolicy2
    + Essa política representa as permissões concedidas ao`AWSManagedServicesCloudFormationAdminRole`. Você e seus parceiros usam essa política para conceder acesso a uma função existente na conta e permitir que essa função lance e atualize CloudFormation pilhas na conta. Isso pode exigir atualizações adicionais da política de controle de serviço (SCP) do AMS para permitir que outras entidades do IAM iniciem CloudFormation pilhas.
+ Conta AMS Advanced single-account landing zone (SALZ)
  + AWSManagedServices\$1CloudFormationAdminPolicy1
  + AWSManagedServices\$1CloudFormationAdminPolicy2
  + cdk-legacy-mode-s3 acessos [política em linha]
  + AWS ReadOnlyAccess política

`AWSManagedServicesUpdateRole`: essa função concede acesso restrito ao AWS serviço APIs downstream. A função é implantada com políticas gerenciadas que fornecem operações de API mutantes e não mutantes, mas, em geral, restringe as operações mutantes (comoCreate/Delete/PUT) em relação a determinados serviços, como IAM, KMS, GuardDuty VPC, recursos e configuração de infraestrutura do AMS e assim por diante. O acesso a essa função é gerenciado por meio do seu provedor de SAML.

As políticas gerenciadas que são implantadas e anexadas à função `AWSManagedServicesUpdateRole` são:
+ Conta de aplicativo AMS Advanced com várias contas landing zone
  + AWSManagedServicesUpdateBasePolicy 
  + AWSManagedServicesUpdateDenyPolicy 
  + AWSManagedServicesUpdateDenyProvisioningPolicy 
  + AWSManagedServicesUpdateEC2E RDSPolicy 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolítica
+ Conta de landing zone de conta única AMS Advanced
  + AWSManagedServicesUpdateBasePolicy 
  + AWSManagedServicesUpdateDenyProvisioningPolicy 
  + AWSManagedServicesUpdateEC2E RDSPolicy 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolítica 1 
  + AWSManagedServicesUpdateDenyActionsOnAMSInfraPolítica 2

Além disso, a `AWSManagedServicesUpdateRole` função de política gerenciada também tem a política AWS `ViewOnlyAccess` gerenciada anexada a ela.