Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Modo AMS Advanced Developer
**Topics**
+ [Introducción al modo AMS Advanced Developer](developer-mode-implement.md)
+ [Seguridad y conformidad en el modo Desarrollador](developer-mode-security-and-compliance.md)
+ [Gestión de cambios en modo Desarrollador](developer-mode-change-management.md)
+ [Infraestructura de aprovisionamiento en modo AMS Developer](developer-mode-provisioning.md)
+ [Controles de Detective en el modo AMS Developer](developer-mode-detective-controls.md)
+ [Registro, supervisión y gestión de eventos en el modo AMS Developer](developer-mode-logging.md)
+ [Gestión de incidentes en el modo AMS Developer](developer-mode-incident-management.md)
+ [Gestión de parches en el modo AMS Developer](developer-mode-patch-management.md)
+ [Gestión de la continuidad en el modo AMS Developer](developer-mode-continuity.md)
+ [Gestión de seguridad y acceso en el modo AMS Developer](developer-mode-security-and-access.md)
El modo Desarrollador de AWS Managed Services (AMS) utiliza permisos elevados en las cuentas AMS Advanced Plus y Premium para aprovisionar y actualizar los recursos de AWS fuera del proceso de administración de cambios de AMS Advanced. Para ello, el modo Desarrollador Avanzado de AMS aprovecha las llamadas a las API nativas de AWS dentro de la Nube Virtual Privada Avanzada (VPC) de AMS, lo que le permite diseñar e implementar infraestructuras y aplicaciones en su entorno gestionado.
Cuando se utiliza una cuenta que tiene activado el modo Desarrollador, se proporcionan la gestión de la continuidad, la gestión de parches y la gestión de cambios para los recursos aprovisionados mediante el proceso de gestión de cambios avanzada de AMS o mediante una Amazon Machine Image (AMI) de AMS. Sin embargo, estas funciones de administración de AMS no se ofrecen para los recursos aprovisionados de forma nativa. AWS APIs
Usted es responsable de supervisar los recursos de infraestructura que se aprovisionan fuera del proceso avanzado de gestión de cambios de AMS. El modo desarrollador es compatible con cargas de trabajo de producción y de no producción. Con los permisos elevados, tiene una mayor responsabilidad a la hora de garantizar el cumplimiento de los controles internos.
**importante**
AMS Advanced solo puede gestionar los recursos que cree mediante el modo Desarrollador si se crean mediante los procesos de gestión de cambios de AMS Advanced.
El modo Desarrollador es uno de los modos AMS Advanced que puede emplear. Para obtener más información, consulte [Descripción general de los modos](ams-modes-ug.md).
# Introducción al modo AMS Advanced Developer
Aprenda las distintas cuentas de AMS Advanced con el modo AMS Advanced Developer y cómo implementar correctamente el modo Developer.
**Topics**
+ [Antes de empezar](developer-mode-faqs.md)
+ [Requisitos previos para el modo Desarrollador](#developer-mode-implement-prerequisites)
+ [¿Cómo implementar el modo Desarrollador](#developer-mode-implement-steps)
+ [Permisos del modo desarrollador](#developer-mode-role)
# Antes de empezar con el modo AMS Developer
Antes de implementar el modo Desarrollador, hay algunas cosas que debe saber.
AMS Advanced no puede gestionar las pilas o los recursos existentes en una DevMode cuenta que se haya creado fuera del proceso de gestión de cambios de AMS Advanced mediante solicitudes de cambio (RFCs). Sin embargo, mientras la cuenta esté activa DevMode, AMS Advanced seguirá gestionando los recursos aprovisionados mediante el proceso de gestión de cambios de AMS Advanced con. RFCs
No puede empezar con una DevMode cuenta y convertirla posteriormente en una cuenta de aplicación gestionada por AMS Advanced.
## Requisitos previos para el modo AMS Developer
Los siguientes son los requisitos previos para implementar el modo Desarrollador:
+ Debe ser cliente de AMS Advanced y tener al menos una cuenta AMS Advanced Plus o Premium integrada.
+ Cualquier cuenta que utilice debe ser una cuenta AMS Advanced Plus o Premium.
+ **Zona de destino multicuenta (MALZ)**: debe utilizar el rol `AWSManagedServicesDevelopmentRole` predefinido AWS Identity and Access Management (IAM). Solicita este rol. En la siguiente sección se describe cómo adquirir los permisos del modo Desarrollador.
+ **Zona de destino para una sola cuenta (SALZ)**: debes usar el rol `customer_developer_role` predefinido AWS Identity and Access Management (IAM). Solicita este rol. En la siguiente sección se describe cómo adquirir los permisos del modo Desarrollador.
## ¿Cómo implementar el modo AMS Advanced Developer?
Para implementar el modo Desarrollador, solicite que a su cuenta de AMS Advanced que cumpla los requisitos se le asigne la función de IAM predefinida:
+ **MALZ:** `AWSManagedServicesDevelopmentRole`
+ **SALZ**: `customer_developer_role`
A continuación, asigne la función a los usuarios pertinentes de su red federada.
AMS Advanced le recomienda que se asegure de que el modo de desarrollador cumple con sus marcos y estándares de control interno, ya que el modo de desarrollador crea dos vectores de cambio: la gestión de cambios de AMS Advanced para los recursos gestionados por AMS Advanced y la federación de funciones gestionada por el cliente para los recursos que usted, como cliente nuestro, administra. Si bien los procesos de AMS Advanced siguen cumpliendo con nuestras declaraciones, es posible que sea necesario actualizar los procesos de los clientes y los marcos de control.
**Para implementar el modo Desarrollador en tu cuenta de AMS Advanced**
1. Confirme que la cuenta que quiere usar con el modo Desarrollador cumpla con los requisitos que se indican en[Requisitos previos para el modo AMS Developer](#developer-mode-implement-prerequisites).
1. Envíe una solicitud de cambio (RFC) utilizando el tipo de cambio (CT) Gestión \$1 Cuenta gestionada \$1 Modo desarrollador \$1 Activar (automatización gestionada). Para ver un ejemplo de cómo utilizar este CT, consulte [Modo desarrollador \$1 Habilitar (automatización gestionada).](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-developer-mode-enable-review-required.html)
Una vez procesado el CT, la función de IAM predefinida (`AWSManagedServicesDevelopmentRole`para **MALZ, `customer_developer_role` para **SALZ****) se aprovisiona en la cuenta solicitada.
1. Asigne la función adecuada a los usuarios que necesiten acceder al modo Desarrollador mediante su proceso de federación interno.
AMS Advanced recomienda limitar el acceso para evitar el aprovisionamiento o los cambios en los recursos no deseados o no aprobados.
## Permisos del modo AMS Advanced Developer
La función predefinida (`AWSManagedServicesDevelopmentRole`para **MALZ o **SALZ****) otorga permiso `customer_developer_role` para crear recursos de infraestructura de aplicaciones dentro de la VPC avanzada de AMS, incluidas las funciones de IAM, al tiempo que restringe el acceso a los componentes de *servicios compartidos* que gestiona AMS Advanced (por ejemplo, hosts de administración, controladores de dominio, EPS de Trend Micro, bastiones y servicios de AWS no compatibles). El rol también restringe el acceso a los siguientes registros Servicios de AWS: Amazon GuardDuty AWS Organizations, AWS Directory Service APIs, y AMS Advanced.
Si bien el rol le permite crear roles de IAM adicionales, los mismos límites de permisos incluidos en el acceso en modo desarrollador se aplican a cualquier rol de IAM creado por el. `AWSManagedServicesDevelopmentRole`
# Seguridad y conformidad en el modo Desarrollador
La seguridad y el cumplimiento son una responsabilidad compartida entre AMS Advanced y usted, como cliente nuestro. El modo de desarrollador avanzado de AMS le transfiere la responsabilidad compartida por los recursos aprovisionados fuera del proceso de gestión de cambios o aprovisionados mediante la gestión de cambios, pero actualizados con los permisos del modo de desarrollador. Para obtener más información sobre la responsabilidad compartida, consulte [AWS Managed Services](https://aws.amazon.com/managed-services/).
**Precauciones:**
+ DevMode le permite a usted y a su equipo autorizado eludir los deny-by-default principios fundamentales de la seguridad de AMS. Hay que sopesar las ventajas, el autoservicio y la reducción del tiempo de espera en el AMS y las desventajas: cualquiera puede realizar acciones inesperadas y destructivas sin el conocimiento de su equipo de seguridad. Se exponen los tipos de cambios automatizados para habilitar los modos Dev y Direct Change, y cualquier persona autorizada de su organización puede ejecutarlos CTs y habilitarlos.
+ Usted es responsable de administrar los permisos de ejecución de CT desde su base de usuarios.
+ AMS no administra los permisos de ejecución de CT
**Recomendaciones:**
+ **Proteja**
+ Los clientes pueden impedir el acceso a este CT mediante permisos. Consulte las declaraciones de política sobre cómo [restringir los permisos con las funciones de IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/request-iam-user.html)
+ Impida el acceso a este CT implementando un proxy, como un sistema ITSM
+ Utilice políticas de control de servicios (SCPs) que eviten las políticas y los comportamientos según sea necesario, consulte la Biblioteca de [Controles Preventivos y de Detectives de AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html)
+ **Detectar**
+ Supervise sus RFC para ver si se están ejecutando CTs (habilite el modo desarrollador ct-1opjmhuddw194 y el modo de cambio directo, habilite el ct-3rd4781c2nnhp) y responda en consecuencia
+ Revise y and/or audite sus cuentas para comprobar la presencia de los recursos de IAM e identificar las cuentas en las que se haya implementado el modo Desarrollador o el modo Direct Change
+ **Responda**
+ Elimine las cuentas en el modo Desarrollador según sea necesario
## Seguridad en el modo Desarrollador
AMS Advanced ofrece un valor adicional con una zona de aterrizaje obligatoria, un sistema de gestión de cambios y una gestión de acceso. Cuando se utiliza el modo Desarrollador, el valor de seguridad de AMS Advanced se mantiene utilizando la misma configuración de cuentas que las cuentas AMS Advanced estándar que establece la red básica reforzada de seguridad de AMS Advanced. La red está protegida por el límite de permisos establecido en el rol (`AWSManagedServicesDevelopmentRole`para **MALZ**, `customer_developer_role` para **SALZ**), lo que impide al usuario desglosar los parámetros de protección establecidos al configurar la cuenta.
Por ejemplo, los usuarios con ese rol pueden acceder a Amazon Route 53, pero la zona alojada interna de AMS Advanced está restringida. Los mismos límites de permisos se aplican a un rol de IAM creado por el`AWSManagedServicesDevelopmentRole`, lo `AWSManagedServicesDevelopmentRole` que impide que el usuario rompa las protecciones de parámetros establecidas cuando la cuenta se incorpora a AMS Advanced.
## Cumplimiento en el modo Desarrollador
El modo desarrollador es compatible con cargas de trabajo tanto de producción como de no producción. Es su responsabilidad garantizar el cumplimiento de cualquier norma de conformidad (por ejemplo, PHI, HIPAA o PCI) y asegurarse de que el uso del modo de desarrollador cumpla con sus marcos y estándares de control interno.
# Gestión de cambios en modo Desarrollador
La gestión de cambios es el proceso que utiliza el servicio AMS Advanced para implementar las solicitudes de cambio. Una solicitud de cambio (RFC) es una solicitud creada por usted o por AMS Advanced a través de la interfaz de AMS Advanced para realizar un cambio en su entorno gestionado e incluye un identificador de tipo de cambio (CT) para una operación concreta. Para obtener más información, consulte [Modos de administración de cambios](using-change-management.md).
La gestión de cambios no se aplica en las cuentas de AMS Advanced, donde se conceden permisos en el modo Desarrollador. Los usuarios a los que se les haya concedido el permiso del modo Desarrollador con la función de IAM (`AWSManagedServicesDevelopmentRole`para **MALZ**, `customer_developer_role` para **SALZ**) pueden utilizar el acceso a la AWS API nativa para aprovisionar y realizar cambios en los recursos de sus cuentas de AMS Advanced. Los usuarios que no tengan la función adecuada en estas cuentas deben utilizar el proceso avanzado de gestión de cambios de AMS para realizar cambios.
**importante**
AMS Advanced solo puede gestionar los recursos que cree mediante el modo Desarrollador si se crean mediante los procesos de gestión de cambios de AMS Advanced. AMS Advanced rechaza las solicitudes de cambios enviadas a AMS Advanced para recursos creados fuera del proceso de gestión de cambios de AMS Advanced porque usted debe gestionarlas.
## Restricciones de API de los servicios de aprovisionamiento de autoservicio
Todos los servicios autoaprovisionados de AMS Advanced son compatibles con el modo Desarrollador. El acceso a los servicios autoaprovisionados está sujeto a las limitaciones descritas en las respectivas secciones de la guía del usuario para cada uno de ellos. Si un servicio autoaprovisionado no está disponible con tu rol en el modo Desarrollador, puedes solicitar un rol actualizado mediante el tipo de cambio en el modo Desarrollador.
Los siguientes servicios no proporcionan acceso completo al servicio: APIs
**Los servicios autoaprovisionados están restringidos en el modo de desarrollador**
| Servicio | Notas |
| --- | --- |
| Amazon API Gateway | Se permiten todas las APIs llamadas a Gateway, excepto. `SetWebACL` |
| Aplicación de escalado automático | Solo se pueden registrar o anular el registro de objetivos escalables y establecer o eliminar una política de escalado. |
| AWS CloudFormation | No se puede acceder ni modificar las CloudFormation pilas que tengan un nombre como prefijo. `mc-` |
| AWS CloudTrail | No se puede acceder ni modificar CloudTrail los recursos que tienen un nombre con el prefijo. `ams-` and/or `mc-` |
| Amazon Cognito (grupos de usuarios) | No se pueden asociar los tokens de software. No se pueden crear grupos de usuarios, trabajos de importación de usuarios, servidores de recursos ni proveedores de identidad. |
| AWS Directory Service | Los `WorkSpaces` servicios `Connect` y servicios solo requieren Directory Service las siguientes acciones. La política de límites de permisos del modo Desarrollador deniega todas las demás acciones de Directory Service: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/onboardingguide/developer-mode-change-management.html) En las cuentas de landing zone de una sola cuenta, la política de límites deniega explícitamente el acceso al directorio gestionado por AMS Advanced utilizado por AMS Advanced para mantener el acceso a las cuentas habilitadas para el modo dev. |
| Amazon Elastic Compute Cloud | No puedo acceder a Amazon EC2 APIs que contenga la cadena: `DhcpOptions``Gateway`,`Subnet`,`VPC`, y`VPN`. No puedo acceder ni modificar EC2 los recursos de Amazon que tengan una etiqueta con el prefijo`AMS`,, `mc``ManagementHostASG`, and/or `sentinel`. |
| Amazon EC2 (Informes) | Solo se concede el acceso de visualización (no se puede modificar). Nota: Amazon EC2 Reports se muda. El elemento de menú **Informes** se eliminará del menú de navegación de la EC2 consola Amazon. Para ver tus informes EC2 de uso de Amazon después de eliminarlos, usa la consola AWS Billing y Cost Management. |
| AWS Identity and Access Management (IAM) | No se pueden eliminar los límites de permisos existentes ni modificar las políticas de contraseñas de los usuarios de IAM. **No puede crear ni modificar recursos de IAM a menos que utilice la función de IAM correcta (`AWSManagedServicesDevelopmentRole`para **MALZ, `customer_developer_role` para SALZ**).** No se pueden modificar los recursos de IAM que tengan el prefijo:,,,. `ams` `mc` `customer_deny_policy` and/or `sentinel` Al crear un nuevo recurso de IAM (rol, usuario o grupo), se debe adjuntar el límite de permisos (**MALZ**:`AWSManagedServicesDevelopmentRolePermissionsBoundary`, **SALZ**:`ams-app-infra-permissions-boundary`). |
| AWS Key Management Service (AWS KMS) | No se pueden acceder ni modificar las claves de KMS administradas por AMS Advanced. |
| AWS Lambda | No se puede acceder ni modificar AWS Lambda las funciones que tienen el prefijo. `AMS` |
| CloudWatch Registros | No se puede acceder a las secuencias de CloudWatch registro con un nombre con el prefijo:`mc`,`aws`,`lambda`, and/or `AMS`. |
| Amazon Relational Database Service (Amazon RDS) | No se puede acceder ni modificar las bases de datos de Amazon Relational Database Service (Amazon RDS) DBs () que tengan un nombre con el prefijo:. `mc-` |
| Grupos de recursos de AWS | Solo puede acceder a las acciones de la `Get` API `List` del grupo de `Search` recursos y al grupo de recursos. |
| Amazon Route 53 | No se puede acceder ni modificar los recursos mantenidos por Route53 AMS Advanced. |
| Amazon S3 | No se puede acceder a los buckets de Amazon S3 que tienen un nombre con el prefijo:`ams-*`, `ams``ms-a`, o. `mc-a` |
| AWS Security Token Service | La única API de servicio de token de seguridad permitida es. `DecodeAuthorizationMessage` |
| Amazon SNS | No puedo acceder a los temas de SNS que tengan un nombre con el prefijo:`AMS-`,`Energon-Topic`, o. `MMS-Topic` |
| AWS Systems Manager Administrador (SSM) | No se pueden modificar los parámetros del SSM que tienen el prefijo`ams`, `mc` o. `svc` No se puede usar la API `SendCommand` de SSM en EC2 instancias de Amazon que tengan una etiqueta con `ams` el prefijo o. `mc` |
| AWS Etiquetado | Solo tienes acceso a las acciones de la API de AWS etiquetado que tengan el prefijo. `Get` |
| AWS Lake Formation | Se deniegan las siguientes acciones AWS Lake Formation de la API: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/onboardingguide/developer-mode-change-management.html) |
| Amazon Elastic Inference | Solo puedes llamar a la acción de la API de Elastic Inference. `elastic-inference:Connect` Este permiso está incluido en el `customer_sagemaker_admin_policy` que se adjunta a. `customer_sagemaker_admin_role` Esta acción le da acceso al acelerador de Elastic Inference. |
| AWS Shield | No tiene acceso a ninguno de estos servicios APIs ni a esta consola. |
| Amazon Simple Workflow Service | No hay acceso a ninguno de estos servicios APIs o consola. |
# Infraestructura de aprovisionamiento en modo AMS Developer
Los usuarios que no tengan la función de IAM en el modo Desarrollador`AWSManagedServicesDevelopmentRole`, en las cuentas en las que el modo Desarrollador esté habilitado, deberán seguir el proceso de gestión de cambios de AMS Advanced, que utiliza AMS Advanced. AMIs Los usuarios con el rol correcto (**MALZ**:`AWSManagedServicesDevelopmentRole`, **SALZ**:`customer_developer_role`) pueden usar el sistema de gestión de cambios AMS Advanced y AMS Advanced, AMIs pero no están obligados a hacerlo.
**nota**
Una AWS AMI que no se haya procesado mediante la ingesta de carga de trabajo de AMS Advanced o que no se haya creado en una cuenta de AMS Advanced no incluirá las configuraciones requeridas por AMS Advanced.
# Controles de Detective en el modo AMS Developer
Esta sección se ha redactado porque contiene información confidencial relacionada con la seguridad de AMS. **Esta información está disponible en la documentación de la consola AMS.** Para acceder a AWS Artifact, puede ponerse en contacto con su CSDM para obtener instrucciones o ir a [Introducción a AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
# Registro, supervisión y gestión de eventos en el modo AMS Developer
El registro, la supervisión y la gestión de eventos no están disponibles para los recursos aprovisionados fuera del proceso avanzado de gestión de cambios de AMS, ni para los recursos aprovisionados mediante la gestión de cambios y luego modificados por una cuenta que utilice los permisos del modo Desarrollador.
# Gestión de incidentes en el modo AMS Developer
Sin cambios en los tiempos de respuesta a los incidentes. La resolución de incidentes es lo mejor para los recursos aprovisionados fuera del proceso de gestión de cambios o para los recursos aprovisionados mediante la gestión de cambios y luego modificados por una cuenta que utiliza los permisos del modo de desarrollador.
**nota**
El acuerdo de nivel de servicio (SLA) de AMS no se aplica a los recursos creados o actualizados fuera del sistema de gestión de cambios de AMS (solicitudes de cambio o RFCs), incluido el modo desarrollador; por lo tanto, los recursos actualizados o creados en el modo desarrollador se degradan automáticamente a P3 y el soporte de AMS es lo mejor que se puede hacer.
# Gestión de parches en el modo AMS Developer
La administración de parches no está disponible para los recursos aprovisionados fuera del proceso avanzado de gestión de cambios de AMS, ni para los recursos aprovisionados mediante la gestión de cambios y luego modificados por una cuenta que utilice los permisos del modo Desarrollador. Tiempos de aplicación de parches:
+ En el caso de una actualización de seguridad crítica: en el plazo de 10 días laborables a partir de la publicación por parte del proveedor, en el caso de los recursos aprovisionados mediante la gestión de cambios y modificados posteriormente por una cuenta que utilice los permisos del modo Desarrollador.
+ Para una actualización importante: en el plazo de 2 meses a partir de la publicación por parte del proveedor, para los recursos aprovisionados mediante la gestión de cambios y modificados posteriormente por una cuenta con permisos en el modo Desarrollador.
# Gestión de la continuidad en el modo AMS Developer
La gestión de la continuidad no está disponible para los recursos aprovisionados fuera del proceso avanzado de gestión de cambios de AMS, ni para los recursos aprovisionados mediante la gestión de cambios y luego modificados por una cuenta que utilice los permisos del modo Desarrollador.
El tiempo de inicio de la recuperación del entorno puede tardar hasta 12 horas en el caso de los recursos aprovisionados fuera del proceso avanzado de gestión de cambios de AMS o en el caso de los recursos aprovisionados mediante la gestión de cambios y posteriormente modificados por una cuenta con permisos en el modo Desarrollador.
# Gestión de seguridad y acceso en el modo AMS Developer
La protección antimalware recae en el caso de los recursos aprovisionados fuera del proceso avanzado de gestión de cambios de AMS o de los recursos aprovisionados mediante la gestión de cambios y posteriormente modificados por una cuenta que utilice los permisos del modo Desarrollador. El acceso a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) no aprovisionadas a través de AMS Advanced Change Management podría controlarse mediante pares de claves en lugar de proporcionar acceso federado.