Ubah manajemen dalam mode Pengembang - Panduan Pengguna Tingkat Lanjut AMS
Pembatasan SSPS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ubah manajemen dalam mode Pengembang

Manajemen perubahan adalah proses yang digunakan layanan AMS Advanced untuk mengimplementasikan permintaan perubahan. Permintaan untuk perubahan (RFC) adalah permintaan yang dibuat oleh Anda atau AMS Advanced melalui antarmuka AMS Advanced untuk membuat perubahan pada lingkungan terkelola Anda dan menyertakan ID tipe perubahan (CT) untuk operasi tertentu. Untuk informasi selengkapnya, lihat Ubah mode manajemen.

Manajemen perubahan tidak diberlakukan di akun AMS Advanced di mana izin mode Pengembang diberikan. Pengguna yang telah diberikan izin mode Pengembang dengan peran IAM (AWSManagedServicesDevelopmentRoleuntuk MALZ, customer_developer_role untuk SALZ), dapat menggunakan akses AWS API asli ke penyediaan dan membuat perubahan pada sumber daya di akun AMS Advanced mereka. Pengguna yang tidak memiliki peran yang sesuai dalam akun ini harus menggunakan proses manajemen perubahan AMS Advanced untuk melakukan perubahan.

penting

Sumber daya yang Anda buat menggunakan mode Pengembang dapat dikelola oleh AMS Advanced hanya jika dibuat menggunakan proses manajemen perubahan AMS Advanced. Permintaan untuk perubahan yang dikirimkan ke AMS Advanced untuk sumber daya yang dibuat di luar proses manajemen perubahan AMS Advanced ditolak oleh AMS Advanced karena harus ditangani oleh Anda.

Pembatasan API layanan penyediaan layanan mandiri

Semua layanan mandiri AMS Advanced didukung dengan mode Pengembang. Akses ke layanan yang disediakan sendiri tunduk pada batasan yang diuraikan di masing-masing bagian panduan pengguna untuk masing-masing. Jika layanan yang disediakan sendiri tidak tersedia dengan peran mode Pengembang, Anda dapat meminta peran yang diperbarui melalui jenis perubahan mode Pengembang.

Layanan berikut tidak menyediakan akses penuh ke layanan APIs:

Layanan Penyediaan Mandiri Dibatasi dalam mode Pengembang
Layanan Catatan

Amazon API Gateway

Semua APIs panggilan Gateway diperbolehkan kecualiSetWebACL.

Penskalaan Otomatis Aplikasi

Hanya dapat mendaftarkan atau membatalkan pendaftaran target yang dapat diskalakan, dan menempatkan atau menghapus kebijakan penskalaan.

AWS CloudFormation

Tidak dapat mengakses atau memodifikasi CloudFormation tumpukan yang memiliki nama yang diawali dengan. mc-

AWS CloudTrail

Tidak dapat mengakses atau memodifikasi CloudTrail sumber daya yang memiliki nama yang diawali dengan ams- and/or mc-.

Amazon Cognito (Kolam Pengguna)

Tidak dapat mengaitkan token perangkat lunak.

Tidak dapat membuat kumpulan pengguna, pekerjaan impor pengguna, server sumber daya, atau penyedia identitas.

AWS Directory Service

Hanya Directory Service tindakan berikut yang diperlukan oleh Connect dan WorkSpaces layanan. Semua tindakan Directory Service lainnya ditolak oleh kebijakan batas izin mode Pengembang:

  • ds:AuthorizeApplication

  • ds:CreateAlias

  • ds:CreateIdentityPoolDirectory

  • ds:DeleteDirectory

  • ds:DescribeDirectories

  • ds:GetAuthorizedApplicationDetails

  • ds:ListAuthorizedApplications

  • ds:UnauthorizeApplication

Dalam akun landing zone akun tunggal, kebijakan batas secara eksplisit menolak akses ke direktori terkelola AMS Advanced yang digunakan oleh AMS Advanced untuk mempertahankan akses ke akun yang diaktifkan mode pengembang.

Amazon Elastic Compute Cloud

Tidak dapat mengakses Amazon EC2 APIs yang berisi string:DhcpOptions,Gateway,Subnet,VPC, danVPN.

Tidak dapat mengakses atau memodifikasi EC2 sumber daya Amazon yang memiliki tag yang diawali denganAMS,, mcManagementHostASG, and/or sentinel.

Amazon EC2 (Laporan)

Hanya akses tampilan yang diberikan (tidak dapat memodifikasi). Catatan: Amazon EC2 Reports sedang bergerak. Item menu Laporan akan dihapus dari menu navigasi EC2 konsol Amazon. Untuk melihat laporan EC2 penggunaan Amazon setelah dihapus, gunakan konsol AWS Billing dan Manajemen Biaya.

AWS Identity and Access Management (IAM)

Tidak dapat menghapus batas izin yang ada, atau mengubah kebijakan kata sandi pengguna IAM.

Tidak dapat membuat atau memodifikasi sumber daya IAM kecuali Anda menggunakan peran IAM yang benar (AWSManagedServicesDevelopmentRoleuntuk MALZ, customer_developer_role untuk SALZ)).

Tidak dapat mengubah sumber daya IAM yang diawali dengan:ams,,mc,customer_deny_policy. and/or sentinel

Saat membuat sumber daya IAM baru (peran, pengguna, atau grup), batas izin (MALZ:AWSManagedServicesDevelopmentRolePermissionsBoundary, SALZ:ams-app-infra-permissions-boundary) harus dilampirkan.

AWS Key Management Service (AWS KMS)

Tidak dapat mengakses atau memodifikasi kunci KMS yang dikelola lanjutan AMS.

AWS Lambda

Tidak dapat mengakses atau memodifikasi AWS Lambda fungsi yang diawali denganAMS.

CloudWatch Log

Tidak dapat mengakses aliran CloudWatch log yang nama diawali dengan:mc,aws,lambda. and/or AMS

Amazon Relational Database Service (Amazon RDS)

Tidak dapat mengakses atau memodifikasi database Amazon Relational Database Service (Amazon RDS) DBs () yang memiliki nama yang diawali dengan:. mc-

AWS Resource Groups

Hanya dapat mengaksesGet,List, dan tindakan API Grup Search Sumber Daya.

Amazon Route 53

Tidak dapat mengakses atau memodifikasi sumber daya Route53 AMS yang dikelola lanjutan.

Amazon S3

Tidak dapat mengakses bucket Amazon S3 yang memiliki nama yang diawali dengan:ams-*,,, ams atau. ms-a mc-a

AWS Security Token Service

Satu-satunya API layanan token keamanan yang diizinkan adalahDecodeAuthorizationMessage.

Amazon SNS

Tidak dapat mengakses topik SNS yang memiliki nama yang diawali dengan:AMS-,Energon-Topic, atau. MMS-Topic

AWS Systems Manager Manajer (SSM)

Tidak dapat mengubah parameter SSM yang diawali denganams,mc, atau. svc

Tidak dapat menggunakan SSM API SendCommand terhadap EC2 instans Amazon yang memiliki tag yang diawali dengan atau. ams mc

AWS Menandai

Anda hanya memiliki akses ke tindakan API AWS Tagging yang diawali dengan. Get

AWS Lake Formation

Tindakan AWS Lake Formation API berikut ditolak:

  • lakeformation:DescribeResource

  • lakeformation:GetDataLakeSettings

  • lakeformation:DeregisterResource

  • lakeformation:RegisterResource

  • lakeformation:UpdateResource

  • lakeformation:PutDataLakeSettings

Amazon Elastic Inference

Anda hanya dapat memanggil aksi Elastic Inference API. elastic-inference:Connect Izin ini termasuk dalam customer_sagemaker_admin_policy yang dilampirkan padacustomer_sagemaker_admin_role. Tindakan ini memberi Anda akses ke akselerator Elastic Inference.

AWS Shield

Tidak ada akses ke salah satu layanan APIs atau konsol ini.

Layanan Alur Kerja Sederhana Amazon

Tidak ada akses ke salah satu layanan APIs atau konsol ini.