Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Mode développeur avancé AMS
**Topics**
+ [Commencer à utiliser le mode développeur avancé d'AMS](developer-mode-implement.md)
+ [Sécurité et conformité en mode développeur](developer-mode-security-and-compliance.md)
+ [Gestion des modifications en mode développeur](developer-mode-change-management.md)
+ [Infrastructure de provisionnement en mode AMS Developer](developer-mode-provisioning.md)
+ [Contrôles Detective en mode AMS Developer](developer-mode-detective-controls.md)
+ [Journalisation, surveillance et gestion des événements en mode AMS Developer](developer-mode-logging.md)
+ [Gestion des incidents en mode AMS Developer](developer-mode-incident-management.md)
+ [Gestion des correctifs en mode AMS Developer](developer-mode-patch-management.md)
+ [Gestion de la continuité en mode AMS Developer](developer-mode-continuity.md)
+ [Gestion de la sécurité et des accès en mode AMS Developer](developer-mode-security-and-access.md)
Le mode développeur d'AWS Managed Services (AMS) utilise des autorisations élevées dans les comptes AMS Advanced Plus et Premium pour fournir et mettre à jour les ressources AWS en dehors du processus de gestion des modifications d'AMS Advanced. Pour ce faire, le mode AMS Advanced Developer exploite les appels d'API AWS natifs au sein de l'AMS Advanced Virtual Private Cloud (VPC), ce qui vous permet de concevoir et de mettre en œuvre une infrastructure et des applications dans votre environnement géré.
Lorsque vous utilisez un compte sur lequel le mode développeur est activé, la gestion de la continuité, la gestion des correctifs et la gestion des modifications sont fournies pour les ressources mises en service via le processus de gestion des modifications AMS Advanced ou à l'aide d'une image machine AMS Amazon (AMI). Toutefois, ces fonctionnalités de gestion AMS ne sont pas proposées pour les ressources provisionnées via le mode natif AWS APIs.
Vous êtes responsable de la surveillance des ressources d'infrastructure mises en service en dehors du processus de gestion des modifications AMS Advanced. Le mode développeur est compatible avec les charges de travail en production et hors production. Avec des autorisations élevées, vous avez la responsabilité accrue de garantir le respect des contrôles internes.
**Important**
Les ressources que vous créez en mode Développeur ne peuvent être gérées par AMS Advanced que si elles sont créées à l'aide des processus de gestion des modifications d'AMS Advanced.
Le mode développeur est l'un des modes AMS Advanced que vous pouvez utiliser. Pour de plus amples informations, veuillez consulter [Vue d'ensemble des modes](ams-modes-ug.md).
# Commencer à utiliser le mode développeur avancé d'AMS
Découvrez les différents comptes AMS Advanced dotés du mode développeur AMS Advanced et découvrez comment implémenter avec succès le mode développeur.
**Topics**
+ [Avant de commencer](developer-mode-faqs.md)
+ [Prérequis pour le mode développeur](#developer-mode-implement-prerequisites)
+ [Comment implémenter le mode développeur](#developer-mode-implement-steps)
+ [Autorisations du mode développeur](#developer-mode-role)
# Avant de commencer avec le mode développeur AMS
Avant d'implémenter le mode développeur, vous devez savoir certaines choses.
AMS Advanced ne peut pas gérer les piles ou les ressources existantes dans un DevMode compte créé en dehors du processus de gestion des modifications d'AMS Advanced par le biais de demandes de modification (RFCs). Cependant, tant que le compte est ouvert DevMode, AMS Advanced continue de gérer les ressources mises à disposition via le processus de gestion des modifications AMS Advanced avec RFCs.
Vous ne pouvez pas commencer par un DevMode compte et le convertir ultérieurement en compte d'application géré par AMS Advanced.
## Prérequis pour le mode développeur AMS
Les conditions préalables à la mise en œuvre du mode développeur sont les suivantes :
+ Vous devez être un client AMS Advanced avec au moins un compte AMS Advanced Plus ou Premium intégré.
+ Tout compte que vous utilisez doit être un compte AMS Advanced Plus ou Premium.
+ **Zone d'atterrissage multi-comptes (MALZ)** : vous devez utiliser le rôle `AWSManagedServicesDevelopmentRole` prédéfini Gestion des identités et des accès AWS (IAM). Vous demandez ce rôle. La section suivante décrit comment obtenir des autorisations en mode développeur.
+ **Zone d'atterrissage à compte unique (SALZ)** : vous devez utiliser le rôle `customer_developer_role` prédéfini Gestion des identités et des accès AWS (IAM). Vous demandez ce rôle. La section suivante décrit comment obtenir des autorisations en mode développeur.
## Comment implémenter le mode AMS Advanced Developer
Vous implémentez le mode développeur en demandant que votre compte AMS Advanced éligible soit provisionné avec le rôle IAM prédéfini :
+ **MALTE :** `AWSManagedServicesDevelopmentRole`
+ **SEL :** `customer_developer_role`
Vous attribuez ensuite le rôle aux utilisateurs concernés dans votre réseau fédéré.
AMS Advanced vous recommande de vous assurer que votre utilisation du mode développeur est conforme à vos cadres et normes de contrôle internes, car le mode développeur crée deux vecteurs de changement : la gestion des modifications AMS Advanced pour les ressources gérées par AMS Advanced et la fédération des rôles gérée par le client pour les ressources que vous gérez en tant que client. Bien que les processus AMS Advanced restent conformes à nos déclarations, les processus clients et les cadres de contrôle peuvent avoir besoin d'être mis à jour.
**Pour implémenter le mode développeur dans votre compte AMS Advanced**
1. Vérifiez que le compte que vous souhaitez utiliser avec le mode développeur répond aux exigences répertoriées dans[Prérequis pour le mode développeur AMS](#developer-mode-implement-prerequisites).
1. Soumettez une demande de modification (RFC) en utilisant le type de modification (CT) Management \$1 Compte géré \$1 Mode développeur \$1 Activer (automatisation gérée). Pour un exemple d'utilisation de ce CT, voir [Mode développeur \$1 Activer (automatisation gérée)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-developer-mode-enable-review-required.html).
Une fois le CT traité, le rôle IAM prédéfini (`AWSManagedServicesDevelopmentRole`pour **MALZ**, `customer_developer_role` pour **SALZ**) est configuré dans le compte demandé.
1. Attribuez le rôle approprié aux utilisateurs qui ont besoin d'un accès au mode développeur à l'aide de votre processus de fédération interne.
AMS Advanced vous recommande de limiter l'accès afin d'empêcher le provisionnement ou la modification de ressources non souhaités ou non approuvés.
## Autorisations du mode développeur avancé AMS
Le rôle prédéfini (`AWSManagedServicesDevelopmentRole`pour **MALZ**, `customer_developer_role` pour **SALZ**) autorise la création de ressources d'infrastructure applicative au sein du VPC AMS Advanced, y compris les rôles IAM, tout en limitant l'accès aux composants de *service partagés* gérés par AMS Advanced (par exemple, les hôtes de gestion, les contrôleurs de domaine, Trend Micro EPS, les bastions et les services AWS non pris en charge). Le rôle restreint également l'accès aux éléments suivants Services AWS : Amazon GuardDuty,, AWS Organizations AWS Directory Service APIs, et AMS Advanced logs.
Bien que le rôle vous permette de créer des rôles IAM supplémentaires, les mêmes limites d'autorisations incluses dans l'accès en mode développeur sont appliquées à tout rôle IAM créé par le. `AWSManagedServicesDevelopmentRole`
# Sécurité et conformité en mode développeur
La sécurité et la conformité sont une responsabilité partagée entre AMS Advanced et vous en tant que client. Le mode développeur avancé d'AMS vous transfère la responsabilité partagée pour les ressources mises à disposition en dehors du processus de gestion des modifications ou fournies par le biais de la gestion des modifications, mais mises à jour avec les autorisations du mode développeur. Pour plus d'informations sur le partage des responsabilités, consultez [AWS Managed Services](https://aws.amazon.com/managed-services/).
**Précautions :**
+ DevMode vous permet, à vous et à votre équipe autorisée, de contourner les deny-by-default principes fondamentaux de la sécurité AMS. Les avantages, le libre-service et la réduction du temps d'attente pour l'AMS doivent être mis en balance avec les inconvénients. Tout le monde peut effectuer des actions inattendues et destructrices à l'insu de son équipe de sécurité. Les types de modifications automatisés permettant d'activer le mode Dev et le mode Direct Change sont exposés, et toute personne autorisée de votre organisation peut les exécuter CTs et activer ces modes.
+ Vous êtes responsable de la gestion des autorisations d'exécution du CT à partir de votre base d'utilisateurs.
+ AMS ne gère pas les autorisations d'exécution du CT
**Recommandations :**
+ **Protéger**
+ Les clients peuvent empêcher l'accès à ce CT par le biais d'autorisations, voir [Restreindre les autorisations avec les déclarations de politique relatives aux rôles IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/request-iam-user.html)
+ Empêchez l'accès à ce CT en implémentant un proxy tel qu'un système ITSM
+ Utilisez des politiques de contrôle des services (SCPs) qui empêchent les politiques et les comportements selon les besoins, voir [AMS Preventative and Detective Controls Library](https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html)
+ **Détecter**
+ Surveillez l'exécution de vos RFC CTs (Activer le mode développeur ct-1opjmhuddw194 et le mode de changement direct, activation ct-3rd4781c2nnhp) et répondez en conséquence
+ Vérifiez vos and/or comptes pour détecter la présence des ressources IAM afin d'identifier les comptes sur lesquels le mode développeur ou le mode changement direct ont été déployés
+ **Répondez**
+ Supprimez des comptes en mode développeur si nécessaire
## Sécurité en mode développeur
AMS Advanced offre une valeur ajoutée avec une zone d'atterrissage prescriptive, un système de gestion du changement et une gestion des accès. Lorsque vous utilisez le mode développeur, la valeur de sécurité d'AMS Advanced est conservée en utilisant la même configuration de compte que les comptes AMS Advanced standard qui établit le réseau renforcé de sécurité AMS Advanced de base. Le réseau est protégé par la limite d'autorisations appliquée dans le rôle (`AWSManagedServicesDevelopmentRole`pour **MALZ**, `customer_developer_role` pour **SALZ**), ce qui empêche l'utilisateur de décomposer les protections des paramètres établies lors de la configuration du compte.
Par exemple, les utilisateurs dotés du rôle peuvent accéder à Amazon Route 53, mais la zone hébergée interne AMS Advanced est restreinte. Les mêmes limites d'autorisations sont appliquées à un rôle IAM créé par le`AWSManagedServicesDevelopmentRole`, ce `AWSManagedServicesDevelopmentRole` qui empêche l'utilisateur de décomposer les protections des paramètres établies lors de l'intégration du compte à AMS Advanced.
## Conformité en mode développeur
Le mode développeur est compatible avec les charges de travail en production et hors production. Il est de votre responsabilité de garantir le respect de toutes les normes de conformité (par exemple, PHI, HIPAA, PCI) et de vous assurer que l'utilisation du mode développeur est conforme à vos cadres et normes de contrôle internes.
# Gestion des modifications en mode développeur
La gestion du changement est le processus utilisé par le service AMS Advanced pour mettre en œuvre les demandes de modification. Une demande de modification (RFC) est une demande créée par vous ou par AMS Advanced via l'interface AMS Advanced pour apporter une modification à votre environnement géré et inclut un ID de type de modification (CT) pour une opération particulière. Pour de plus amples informations, veuillez consulter [Modes de gestion des modifications](using-change-management.md).
La gestion des modifications n'est pas appliquée dans les comptes AMS Advanced où les autorisations du mode développeur sont accordées. Les utilisateurs qui ont obtenu une autorisation en mode développeur avec le rôle IAM (`AWSManagedServicesDevelopmentRole`pour **MALZ**, `customer_developer_role` pour **SALZ**) peuvent utiliser l'accès à l' AWS API native pour approvisionner et modifier les ressources de leurs comptes AMS Advanced. Les utilisateurs qui n'ont pas le rôle approprié dans ces comptes doivent utiliser le processus de gestion des modifications AMS Advanced pour apporter des modifications.
**Important**
Les ressources que vous créez en mode Développeur ne peuvent être gérées par AMS Advanced que si elles sont créées à l'aide des processus de gestion des modifications d'AMS Advanced. Les demandes de modification soumises à AMS Advanced pour des ressources créées en dehors du processus de gestion des modifications d'AMS Advanced sont rejetées par AMS Advanced car elles doivent être traitées par vous.
## Restrictions relatives à l'API des services de provisionnement en libre-service
Tous les services auto-provisionnés d'AMS Advanced sont pris en charge en mode développeur. L'accès aux services auto-approvisionnés est soumis aux limites décrites dans les sections du guide de l'utilisateur correspondant à chacun d'entre eux. Si aucun service auto-approvisionné n'est disponible avec votre rôle en mode développeur, vous pouvez demander un rôle mis à jour via le type de changement de mode développeur.
Les services suivants ne fournissent pas un accès complet au service APIs :
**Services auto-provisionnés restreints en mode développeur**
| Service | Remarques |
| --- | --- |
| Amazon API Gateway | Tous les APIs appels Gateway sont autorisés, sauf`SetWebACL`. |
| Application Autoscaling | Peut uniquement enregistrer ou désenregistrer des cibles évolutives, et définir ou supprimer une politique de dimensionnement. |
| AWS CloudFormation | Impossible d'accéder aux CloudFormation piles dont le nom est préfixé par. `mc-` |
| AWS CloudTrail | Impossible d'accéder ou de modifier les CloudTrail ressources dont le nom est préfixé par `ams-` and/or `mc-`. |
| Amazon Cognito (groupes d'utilisateurs) | Impossible d'associer des jetons logiciels. Impossible de créer des groupes d'utilisateurs, des tâches d'importation d'utilisateurs, des serveurs de ressources ou des fournisseurs d'identité. |
| AWS Directory Service | Seules les Directory Service actions suivantes sont requises par `Connect` les `WorkSpaces` services. Toutes les autres actions du Service d'annuaire sont refusées par la politique de limite d'autorisation du mode développeur : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/developer-mode-change-management.html) Dans les comptes de zone d'atterrissage à compte unique, la politique de limite refuse explicitement l'accès au répertoire géré AMS Advanced utilisé par AMS Advanced pour maintenir l'accès aux comptes compatibles avec le mode développement. |
| Amazon Elastic Compute Cloud | Impossible d'accéder à Amazon EC2 APIs contenant la chaîne : `DhcpOptions``Gateway`,`Subnet`,`VPC`, et`VPN`. Impossible d'accéder aux EC2 ressources Amazon dont le préfixe de balise est`AMS`,, `mc``ManagementHostASG`, and/or `sentinel` ou de les modifier. |
| Amazon EC2 (Rapports) | Seul l'accès à la vue est accordé (ne peut pas être modifié). Remarque : Amazon EC2 Reports est en train de déménager. L'élément de menu **Rapports** sera supprimé du menu de navigation de EC2 la console Amazon. Pour consulter vos rapports EC2 d'utilisation d'Amazon après sa suppression, utilisez la console AWS Billing and Cost Management. |
| Gestion des identités et des accès AWS (JE SUIS) | Impossible de supprimer les limites d'autorisation existantes ou de modifier les politiques de mot de passe utilisateur IAM. Impossible de créer ou de modifier des ressources IAM à moins d'utiliser le rôle IAM approprié (`AWSManagedServicesDevelopmentRole`pour **MALZ, `customer_developer_role` pour **SALZ****)). Impossible de modifier les ressources IAM préfixées par :`ams`,,`mc`,`customer_deny_policy`. and/or `sentinel` Lors de la création d'une nouvelle ressource IAM (rôle, utilisateur ou groupe), la limite d'autorisation (**MALZ** :`AWSManagedServicesDevelopmentRolePermissionsBoundary`, **SALZ** :`ams-app-infra-permissions-boundary`) doit être attachée. |
| AWS Key Management Service (AWS KMS) | Impossible d'accéder aux clés KMS gérées par AMS Advanced ou de les modifier. |
| AWS Lambda | Impossible d'accéder ou de modifier AWS Lambda les fonctions préfixées par`AMS`. |
| CloudWatch Journaux | Impossible d'accéder aux flux de CloudWatch journaux dont le nom est préfixé par :`mc`,, `aws``lambda`, and/or `AMS`. |
| Amazon Relational Database Service (Amazon RDS) | Impossible d'accéder ou de modifier les bases de données Amazon Relational Database Service (Amazon RDS) DBs () dont le nom est préfixé par :. `mc-` |
| Groupes de ressources AWS | Ne peut accéder qu'aux `Get` actions de `List` l'API `Search` Resource Group et Resource Group. |
| Amazon Route 53 | Impossible d'accéder aux ressources gérées par Route53 AMS Advanced ou de les modifier. |
| Amazon S3 | Impossible d'accéder aux compartiments Amazon S3 dont le nom est préfixé par :`ams-*`, `ams``ms-a`, ou. `mc-a` |
| AWS Security Token Service | La seule API de service de jetons de sécurité autorisée est`DecodeAuthorizationMessage`. |
| Amazon SNS | Impossible d'accéder aux rubriques SNS dont le nom est préfixé par : `AMS-``Energon-Topic`, ou. `MMS-Topic` |
| AWS Systems Manager Directeur (SSM) | Impossible de modifier les paramètres SSM préfixés par `ams``mc`, ou. `svc` Impossible d'utiliser l'API SSM sur `SendCommand` des EC2 instances Amazon dont le tag est préfixé par `ams` ou. `mc` |
| AWS Balisage | Vous n'avez accès qu'aux actions de l'API de AWS balisage préfixées par. `Get` |
| AWS Lake Formation | Les actions AWS Lake Formation d'API suivantes sont refusées : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/developer-mode-change-management.html) |
| Amazon Elastic Inference | Vous pouvez uniquement appeler l'action Elastic Inference API. `elastic-inference:Connect` Cette autorisation est incluse dans `customer_sagemaker_admin_policy` le document joint au`customer_sagemaker_admin_role`. Cette action vous donne accès à l'accélérateur Elastic Inference. |
| AWS Shield | Aucun accès à ces services APIs ou à cette console. |
| Amazon Simple Workflow Service | Aucun accès à ces services APIs ou à cette console. |
# Infrastructure de provisionnement en mode AMS Developer
Les utilisateurs qui ne possèdent pas le rôle IAM en mode développeur`AWSManagedServicesDevelopmentRole`, dans les comptes où le mode développeur est activé, sont tenus de suivre le processus de gestion des modifications AMS Advanced qui tire parti d'AMS Advanced. AMIs Les utilisateurs ayant le bon rôle (**MALZ** :`AWSManagedServicesDevelopmentRole`, **SALZ** :`customer_developer_role`) peuvent utiliser le système de gestion des modifications AMS Advanced et AMS Advanced, AMIs mais ce n'est pas obligatoire.
**Note**
Une AWS AMI qui n'a pas été traitée via l'ingestion de charge de travail AMS Advanced ou qui n'a pas été créée dans un compte AMS Advanced n'inclura pas les configurations requises par AMS Advanced.
# Contrôles Detective en mode AMS Developer
Cette section a été supprimée car elle contient des informations sensibles relatives à la sécurité AMS. Ces informations sont disponibles dans la **documentation** de la console AMS. Pour accéder à AWS Artifact, vous pouvez contacter votre CSDM pour obtenir des instructions ou consulter Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
# Journalisation, surveillance et gestion des événements en mode AMS Developer
La journalisation, la surveillance et la gestion des événements ne sont pas disponibles pour les ressources mises en service en dehors du processus de gestion des modifications AMS Advanced, ni pour les ressources fournies par le biais de la gestion des modifications puis modifiées par un compte à l'aide des autorisations du mode développeur.
# Gestion des incidents en mode AMS Developer
Aucune modification des délais de réponse aux incidents. La résolution des incidents est la meilleure solution pour les ressources mises en service en dehors du processus de gestion des modifications, ou pour les ressources fournies par le biais de la gestion des modifications puis modifiées par un compte à l'aide des autorisations du mode développeur.
**Note**
Le contrat de niveau de service (SLA) AMS ne s'applique pas aux ressources créées ou mises à jour en dehors du système de gestion des modifications AMS (demandes de modification ou RFCs), mode développeur inclus ; par conséquent, les ressources mises à jour ou créées en mode développeur sont automatiquement dégradées au niveau P3 et le support AMS fait de son mieux.
# Gestion des correctifs en mode AMS Developer
La gestion des correctifs n'est pas disponible pour les ressources mises en service en dehors du processus de gestion des modifications AMS Advanced, ni pour les ressources fournies par le biais de la gestion des modifications puis modifiées par un compte à l'aide des autorisations du mode développeur. Délais d'application des correctifs :
+ Pour une mise à jour de sécurité critique : dans les 10 jours ouvrables suivant la publication par le fournisseur pour les ressources fournies dans le cadre de la gestion des modifications, puis modifiées par un compte à l'aide des autorisations du mode développeur.
+ Pour une mise à jour importante : dans les 2 mois suivant la publication par le fournisseur pour les ressources fournies par le biais de la gestion des modifications, puis modifiées par un compte à l'aide des autorisations du mode développeur.
# Gestion de la continuité en mode AMS Developer
La gestion de la continuité n'est pas disponible pour les ressources mises en service en dehors du processus de gestion des modifications AMS Advanced, ni pour les ressources fournies par le biais de la gestion des modifications puis modifiées par un compte à l'aide des autorisations du mode développeur.
Le délai de lancement de la restauration de l'environnement peut prendre jusqu'à 12 heures pour les ressources mises en service en dehors du processus de gestion des modifications AMS Advanced, ou pour les ressources fournies par le biais de la gestion des modifications puis modifiées par un compte à l'aide des autorisations du mode développeur.
# Gestion de la sécurité et des accès en mode AMS Developer
La protection contre les programmes malveillants est de votre responsabilité pour les ressources mises en service en dehors du processus de gestion des modifications AMS Advanced, ou pour les ressources fournies par le biais de la gestion des modifications puis modifiées par un compte à l'aide des autorisations du mode développeur. L'accès aux instances Amazon Elastic Compute Cloud (Amazon EC2) non provisionnées via AMS Advanced change management peut être contrôlé par des paires de clés au lieu de fournir un accès fédéré.