Gestión de cambios en modo Desarrollador - Guía de usuario avanzada de AMS
Restricciones de SSPS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestión de cambios en modo Desarrollador

La gestión de cambios es el proceso que utiliza el servicio AMS Advanced para implementar las solicitudes de cambio. Una solicitud de cambio (RFC) es una solicitud creada por usted o por AMS Advanced a través de la interfaz de AMS Advanced para realizar un cambio en su entorno gestionado e incluye un identificador de tipo de cambio (CT) para una operación concreta. Para obtener más información, consulte Modos de administración de cambios.

La gestión de cambios no se aplica en las cuentas de AMS Advanced, donde se conceden permisos en el modo Desarrollador. Los usuarios a los que se les haya concedido el permiso del modo Desarrollador con la función de IAM (AWSManagedServicesDevelopmentRolepara MALZ, customer_developer_role para SALZ) pueden utilizar el acceso a la AWS API nativa para aprovisionar y realizar cambios en los recursos de sus cuentas de AMS Advanced. Los usuarios que no tengan la función adecuada en estas cuentas deben utilizar el proceso avanzado de gestión de cambios de AMS para realizar cambios.

importante

AMS Advanced solo puede gestionar los recursos que cree mediante el modo Desarrollador si se crean mediante los procesos de gestión de cambios de AMS Advanced. AMS Advanced rechaza las solicitudes de cambios enviadas a AMS Advanced para recursos creados fuera del proceso de gestión de cambios de AMS Advanced porque usted debe gestionarlas.

Restricciones de API de los servicios de aprovisionamiento de autoservicio

Todos los servicios autoaprovisionados de AMS Advanced son compatibles con el modo Desarrollador. El acceso a los servicios autoaprovisionados está sujeto a las limitaciones descritas en las respectivas secciones de la guía del usuario para cada uno de ellos. Si un servicio autoaprovisionado no está disponible con tu rol en el modo Desarrollador, puedes solicitar un rol actualizado mediante el tipo de cambio en el modo Desarrollador.

Los siguientes servicios no proporcionan acceso completo al servicio: APIs

Los servicios autoaprovisionados están restringidos en el modo de desarrollador
Servicio Notas

Amazon API Gateway

Se permiten todas las APIs llamadas a Gateway, excepto. SetWebACL

Aplicación de escalado automático

Solo se pueden registrar o anular el registro de objetivos escalables y establecer o eliminar una política de escalado.

AWS CloudFormation

No se puede acceder ni modificar las CloudFormation pilas que tengan un nombre como prefijo. mc-

AWS CloudTrail

No se puede acceder ni modificar CloudTrail los recursos que tienen un nombre con el prefijo. ams- and/or mc-

Amazon Cognito (grupos de usuarios)

No se pueden asociar los tokens de software.

No se pueden crear grupos de usuarios, trabajos de importación de usuarios, servidores de recursos ni proveedores de identidad.

AWS Directory Service

Los WorkSpaces servicios Connect y servicios solo requieren Directory Service las siguientes acciones. La política de límites de permisos del modo Desarrollador deniega todas las demás acciones de Directory Service:

  • ds:AuthorizeApplication

  • ds:CreateAlias

  • ds:CreateIdentityPoolDirectory

  • ds:DeleteDirectory

  • ds:DescribeDirectories

  • ds:GetAuthorizedApplicationDetails

  • ds:ListAuthorizedApplications

  • ds:UnauthorizeApplication

En las cuentas de landing zone de una sola cuenta, la política de límites deniega explícitamente el acceso al directorio gestionado por AMS Advanced utilizado por AMS Advanced para mantener el acceso a las cuentas habilitadas para el modo dev.

Amazon Elastic Compute Cloud

No puedo acceder a Amazon EC2 APIs que contenga la cadena: DhcpOptionsGateway,Subnet,VPC, yVPN.

No puedo acceder ni modificar EC2 los recursos de Amazon que tengan una etiqueta con el prefijoAMS,, mcManagementHostASG, and/or sentinel.

Amazon EC2 (Informes)

Solo se concede el acceso de visualización (no se puede modificar). Nota: Amazon EC2 Reports se muda. El elemento de menú Informes se eliminará del menú de navegación de la EC2 consola Amazon. Para ver tus informes EC2 de uso de Amazon después de eliminarlos, usa la consola AWS Billing y Cost Management.

AWS Identity and Access Management (IAM)

No se pueden eliminar los límites de permisos existentes ni modificar las políticas de contraseñas de los usuarios de IAM.

No puede crear ni modificar recursos de IAM a menos que utilice la función de IAM correcta (AWSManagedServicesDevelopmentRolepara MALZ, customer_developer_role para SALZ).

No se pueden modificar los recursos de IAM que tengan el prefijo:,,,. ams mc customer_deny_policy and/or sentinel

Al crear un nuevo recurso de IAM (rol, usuario o grupo), se debe adjuntar el límite de permisos (MALZ:AWSManagedServicesDevelopmentRolePermissionsBoundary, SALZ:ams-app-infra-permissions-boundary).

AWS Key Management Service (AWS KMS)

No se pueden acceder ni modificar las claves de KMS administradas por AMS Advanced.

AWS Lambda

No se puede acceder ni modificar AWS Lambda las funciones que tienen el prefijo. AMS

CloudWatch Registros

No se puede acceder a las secuencias de CloudWatch registro con un nombre con el prefijo:mc,aws,lambda, and/or AMS.

Amazon Relational Database Service (Amazon RDS)

No se puede acceder ni modificar las bases de datos de Amazon Relational Database Service (Amazon RDS) DBs () que tengan un nombre con el prefijo:. mc-

AWS Resource Groups

Solo puede acceder a las acciones de la Get API List del grupo de Search recursos y al grupo de recursos.

Amazon Route 53

No se puede acceder ni modificar los recursos mantenidos por Route53 AMS Advanced.

Amazon S3

No se puede acceder a los buckets de Amazon S3 que tienen un nombre con el prefijo:ams-*, amsms-a, o. mc-a

AWS Security Token Service

La única API de servicio de token de seguridad permitida es. DecodeAuthorizationMessage

Amazon SNS

No puedo acceder a los temas de SNS que tengan un nombre con el prefijo:AMS-,Energon-Topic, o. MMS-Topic

AWS Systems Manager Administrador (SSM)

No se pueden modificar los parámetros del SSM que tienen el prefijoams, mc o. svc

No se puede usar la API SendCommand de SSM en EC2 instancias de Amazon que tengan una etiqueta con ams el prefijo o. mc

AWS Etiquetado

Solo tienes acceso a las acciones de la API de AWS etiquetado que tengan el prefijo. Get

AWS Lake Formation

Se deniegan las siguientes acciones AWS Lake Formation de la API:

  • lakeformation:DescribeResource

  • lakeformation:GetDataLakeSettings

  • lakeformation:DeregisterResource

  • lakeformation:RegisterResource

  • lakeformation:UpdateResource

  • lakeformation:PutDataLakeSettings

Amazon Elastic Inference

Solo puedes llamar a la acción de la API de Elastic Inference. elastic-inference:Connect Este permiso está incluido en el customer_sagemaker_admin_policy que se adjunta a. customer_sagemaker_admin_role Esta acción le da acceso al acelerador de Elastic Inference.

AWS Shield

No tiene acceso a ninguno de estos servicios APIs ni a esta consola.

Amazon Simple Workflow Service

No hay acceso a ninguno de estos servicios APIs o consola.