Änderungsmanagement im Entwicklermodus - AMS-Benutzerhandbuch für Fortgeschrittene
SSPS-Einschränkungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Änderungsmanagement im Entwicklermodus

Change Management ist der Prozess, den der AMS Advanced-Service verwendet, um Änderungsanforderungen zu implementieren. Eine Änderungsanforderung (RFC) ist eine Anfrage, die entweder von Ihnen oder AMS Advanced über die AMS Advanced-Schnittstelle erstellt wird, um eine Änderung an Ihrer verwalteten Umgebung vorzunehmen. Sie enthält eine Change Type (CT) -ID für einen bestimmten Vorgang. Weitere Informationen finden Sie unter Verwaltungsmodi ändern.

Die Änderungsverwaltung wird bei AMS Advanced-Konten, für die Berechtigungen im Entwicklermodus gewährt werden, nicht durchgesetzt. Benutzer, denen die Berechtigung für den Entwicklermodus mit der IAM-Rolle (AWSManagedServicesDevelopmentRolefür MALZ, customer_developer_role für SALZ) erteilt wurde, können den systemeigenen AWS API-Zugriff verwenden, um Ressourcen in ihren AMS Advanced-Konten bereitzustellen und zu ändern. Benutzer, die nicht über die entsprechende Rolle in diesen Konten verfügen, müssen den AMS-Advanced-Change-Management-Prozess verwenden, um Änderungen vorzunehmen.

Wichtig

Ressourcen, die Sie im Entwicklermodus erstellen, können nur dann von AMS Advanced verwaltet werden, wenn sie mithilfe von AMS Advanced-Change-Management-Prozessen erstellt wurden. An AMS Advanced eingereichte Änderungsanträge für Ressourcen, die außerhalb des AMS Advanced-Change-Management-Prozesses erstellt wurden, werden von AMS Advanced abgelehnt, da sie von Ihnen bearbeitet werden müssen.

API-Einschränkungen für Self-Service-Bereitstellungsdienste

Alle selbst bereitgestellten AMS Advanced-Dienste werden im Entwicklermodus unterstützt. Der Zugriff auf selbst bereitgestellte Dienste unterliegt den Einschränkungen, die in den jeweiligen Abschnitten des Benutzerhandbuchs beschrieben sind. Wenn ein selbst bereitgestellter Dienst mit Ihrer Rolle im Entwicklermodus nicht verfügbar ist, können Sie über den Änderungstyp Entwicklermodus eine aktualisierte Rolle anfordern.

Die folgenden Dienste bieten keinen vollen Zugriff auf den Dienst: APIs

Self-Provisioned Services: Eingeschränkt im Entwicklermodus
Service Hinweise

Amazon API Gateway

Alle APIs Gateway-Aufrufe sind zulässig, außer SetWebACL

Application Auto Scaling

Es können nur skalierbare Ziele registriert oder deregistriert und eine Skalierungsrichtlinie hinzugefügt oder gelöscht werden.

AWS CloudFormation

Es kann nicht auf CloudFormation Stacks zugegriffen oder diese geändert werden, denen ein Name als Präfix vorangestellt ist. mc-

AWS CloudTrail

Es kann nicht auf CloudTrail Ressourcen zugegriffen oder diese geändert werden, denen ein Name als Präfix vorangestellt ist. ams- and/or mc-

Amazon Cognito (Benutzerpools)

Softwaretoken können nicht verknüpft werden.

Benutzerpools, Benutzerimportaufträge, Ressourcenserver oder Identitätsanbieter können nicht erstellt werden.

AWS Directory Service

Nur die folgenden Directory Service Aktionen sind für die Connect WorkSpaces Dienste erforderlich. Alle anderen Verzeichnisdienst-Aktionen werden durch die Berechtigungsgrenzrichtlinie für den Entwicklermodus verweigert:

  • ds:AuthorizeApplication

  • ds:CreateAlias

  • ds:CreateIdentityPoolDirectory

  • ds:DeleteDirectory

  • ds:DescribeDirectories

  • ds:GetAuthorizedApplicationDetails

  • ds:ListAuthorizedApplications

  • ds:UnauthorizeApplication

Bei landing zone Zone-Konten mit einem Konto verweigert die Boundary-Policy ausdrücklich den Zugriff auf das verwaltete AMS Advanced-Verzeichnis, das von AMS Advanced zur Aufrechterhaltung des Zugriffs auf Konten mit aktiviertem Dev-Modus verwendet wird.

Amazon Elastic Compute Cloud

Es kann nicht auf Amazon EC2 APIs zugegriffen werden, die die Zeichenfolge: DhcpOptionsGateway,Subnet,VPC, und enthaltenVPN.

Es kann nicht auf EC2 Amazon-Ressourcen zugegriffen oder diese geändert werden, denen ein Tag mit dem PräfixAMS,, mcManagementHostASG, and/or sentinel vorangestellt ist.

Amazon EC2 (Berichte)

Es wird nur Lesezugriff gewährt (kann nicht geändert werden). Hinweis: Amazon EC2 Reports zieht um. Der Menüpunkt Berichte wird aus dem Navigationsmenü der EC2 Amazon-Konsole entfernt. Um Ihre EC2 Amazon-Nutzungsberichte nach der Entfernung einzusehen, verwenden Sie die AWS Billing und Cost Management-Konsole.

AWS Identity and Access Management (IAM)

Bestehende Berechtigungsgrenzen können nicht gelöscht oder die Kennwortrichtlinien für IAM-Benutzer geändert werden.

IAM-Ressourcen können nur erstellt oder geändert werden, wenn Sie die richtige IAM-Rolle (AWSManagedServicesDevelopmentRolefür MALZ, customer_developer_role für SALZ) verwenden.

IAM-Ressourcen mit dem Präfix:,,, können nicht geändert werden. ams mc customer_deny_policy and/or sentinel

Beim Erstellen einer neuen IAM-Ressource (Rolle, Benutzer oder Gruppe) muss die Berechtigungsgrenze (MALZ:AWSManagedServicesDevelopmentRolePermissionsBoundary, SALZ:ams-app-infra-permissions-boundary) angehängt werden.

AWS Key Management Service (AWS KMS)

Auf von AMS Advanced verwaltete KMS-Schlüssel kann nicht zugegriffen oder diese geändert werden.

AWS Lambda

Es kann nicht auf AWS Lambda Funktionen zugegriffen oder diese geändert werden, denen das Präfix vorangestellt ist. AMS

CloudWatch Logs

Auf CloudWatch Protokollstreams mit dem Präfix:,mc, awslambda, and/or AMS kann nicht zugegriffen werden.

Amazon Relational Database Service (Amazon RDS)

Auf Amazon Relational Database Service (Amazon RDS) -Datenbanken (DBs) mit dem Präfix: kann nicht zugegriffen oder diese geändert werden. mc-

AWS Resource Groups

Kann nur auf Get API-Aktionen List und Search Resource Group zugreifen.

Amazon Route 53

Auf die von Route53 AMS Advanced verwalteten Ressourcen kann nicht zugegriffen oder diese geändert werden.

Amazon S3

Es kann nicht auf Amazon S3 S3-Buckets zugegriffen werden, denen ein Name mit dem Präfix:ams-*, amsms-a, oder vorangestellt ist. mc-a

AWS Security Token Service

Die einzige zulässige Sicherheitstoken-Dienst-API ist. DecodeAuthorizationMessage

Amazon SNS

Es kann nicht auf SNS-Themen zugegriffen werden, denen ein Name mit dem Präfix: AMS-Energon-Topic, oder vorangestellt ist. MMS-Topic

AWS Systems Manager Manager (SSM)

SSM-Parameter mit ams dem Präfix, oder können nicht geändert werden. mc svc

Die SSM-API SendCommand kann nicht für EC2 Amazon-Instances verwendet werden, denen ein Tag mit ams dem Präfix oder vorangestellt ist. mc

AWS Taggen

Sie haben nur Zugriff auf AWS Tagging-API-Aktionen, denen das Präfix vorangestellt ist. Get

AWS Lake Formation

Die folgenden AWS Lake Formation API-Aktionen werden verweigert:

  • lakeformation:DescribeResource

  • lakeformation:GetDataLakeSettings

  • lakeformation:DeregisterResource

  • lakeformation:RegisterResource

  • lakeformation:UpdateResource

  • lakeformation:PutDataLakeSettings

Amazon Elastic Inference

Sie können nur die Elastic Inference API-Aktion elastic-inference:Connect aufrufen. Diese Berechtigung ist in der Datei enthaltencustomer_sagemaker_admin_policy, die dem customer_sagemaker_admin_role beigefügt ist. Mit dieser Aktion erhalten Sie Zugriff auf den Elastic Inference Accelerator.

AWS Shield

Kein Zugriff auf einen dieser Dienste APIs oder Konsolen.

Amazon Simple Workflow Service

Kein Zugriff auf diese Dienste APIs oder Konsolen.