Gestione delle modifiche in modalità Sviluppatore

La gestione delle modifiche è il processo utilizzato dal servizio AMS Advanced per implementare le richieste di modifica. Una richiesta di modifica (RFC) è una richiesta creata dall'utente o da AMS Advanced tramite l'interfaccia AMS Advanced per apportare una modifica all'ambiente gestito e include un ID del tipo di modifica (CT) per una particolare operazione. Per ulteriori informazioni, consulta Modifiche alle modalità di gestione.

La gestione delle modifiche non viene applicata negli account AMS Advanced a cui sono concesse le autorizzazioni in modalità Sviluppatore. Gli utenti a cui è stata concessa l'autorizzazione in modalità Sviluppatore con il ruolo IAM (AWSManagedServicesDevelopmentRoleper MALZ, customer_developer_role per SALZ), possono utilizzare l'accesso AWS API nativo per fornire e apportare modifiche alle risorse nei propri account AMS Advanced. Gli utenti che non hanno il ruolo appropriato in questi account devono utilizzare il processo di gestione delle modifiche di AMS Advanced per apportare modifiche.

Importante

Le risorse create utilizzando la modalità Sviluppatore possono essere gestite da AMS Advanced solo se vengono create utilizzando i processi di gestione delle modifiche di AMS Advanced. Le richieste di modifiche inviate ad AMS Advanced per risorse create al di fuori del processo di gestione delle modifiche di AMS Advanced vengono rifiutate da AMS Advanced perché devono essere gestite dall'utente.

Restrizioni dell'API per i servizi di provisioning self-service

Tutti i servizi autoforniti da AMS Advanced sono supportati dalla modalità Sviluppatore. L'accesso ai servizi forniti autonomamente è soggetto alle limitazioni descritte nelle rispettive sezioni della guida per l'utente per ciascuno di essi. Se un servizio con fornitura automatica non è disponibile con il ruolo in modalità Sviluppatore, puoi richiedere un ruolo aggiornato tramite il tipo di modifica della modalità Sviluppatore.

I seguenti servizi non forniscono l'accesso completo al servizio: APIs

Servizi forniti autonomamente limitati in modalità Sviluppatore
Servizio	Note
Amazon API Gateway	Tutte le APIs chiamate Gateway sono consentite tranne. `SetWebACL`
Application Auto Scaling	Può solo registrare o annullare la registrazione di obiettivi scalabili e inserire o eliminare una politica di scalabilità.
AWS CloudFormation	Non è possibile accedere o modificare gli CloudFormation stack il cui nome è preceduto da. `mc-`
AWS CloudTrail	Non è possibile accedere o modificare CloudTrail risorse il cui nome è preceduto da. `ams-` and/or `mc-`
Amazon Cognito (pool di utenti)	Impossibile associare token software. Impossibile creare pool di utenti, processi di importazione utenti, server di risorse o provider di identità.
AWS Directory Service	Solo le seguenti Directory Service azioni sono richieste da `Connect` and `WorkSpaces` services. Tutte le altre azioni del Directory Service sono negate dalla politica sui limiti delle autorizzazioni della modalità Sviluppatore: `ds:AuthorizeApplication` `ds:CreateAlias` `ds:CreateIdentityPoolDirectory` `ds:DeleteDirectory` `ds:DescribeDirectories` `ds:GetAuthorizedApplicationDetails` `ds:ListAuthorizedApplications` `ds:UnauthorizeApplication` Negli account di landing zone con account singolo, la politica di confine nega esplicitamente l'accesso alla directory gestita di AMS Advanced utilizzata da AMS Advanced per mantenere l'accesso agli account abilitati alla modalità sviluppo.
Amazon Elastic Compute Cloud	Impossibile accedere ad Amazon EC2 APIs che contiene la stringa: `DhcpOptionsGateway`,`Subnet`,`VPC`, e`VPN`. Non è possibile accedere o modificare EC2 le risorse Amazon con un tag preceduto da`AMS`, `mcManagementHostASG`, and/or `sentinel`.
Amazon EC2 (rapporti)	È concesso solo l'accesso alla visualizzazione (non è possibile modificare). Nota: Amazon EC2 Reports si sta trasferendo. La voce del menu Report verrà rimossa dal menu di navigazione EC2 della console Amazon. Per visualizzare i report EC2 sull'utilizzo di Amazon dopo la rimozione, usa la console AWS Billing and Cost Management.
AWS Identity and Access Management (IAM)	Non è possibile eliminare i limiti di autorizzazione esistenti o modificare le politiche relative alle password degli utenti IAM. Non è possibile creare o modificare risorse IAM a meno che non si utilizzi il ruolo IAM corretto (`AWSManagedServicesDevelopmentRole`per MALZ, `customer_developer_role` per SALZ)). Non è possibile modificare le risorse IAM con il prefisso:`ams`,,,`mc`. `customer_deny_policy` and/or `sentinel` Quando si crea una nuova risorsa IAM (ruolo, utente o gruppo), è necessario allegare il limite di autorizzazione (MALZ:`AWSManagedServicesDevelopmentRolePermissionsBoundary`, SALZ:`ams-app-infra-permissions-boundary`).
AWS Key Management Service (AWS KMS)	Impossibile accedere o modificare le chiavi KMS gestite da AMS Advanced.
AWS Lambda	Non è possibile accedere o modificare le AWS Lambda funzioni che hanno il prefisso con. `AMS`
CloudWatch Registri	Impossibile accedere ai flussi di CloudWatch log il cui nome è preceduto da:`mc`,,,`aws`. `lambda` and/or `AMS`
Amazon Relational Database Service (Amazon RDS)	Non è possibile accedere o modificare i database Amazon Relational Database Service (Amazon RDS) DBs () con un nome preceduto da:. `mc-`
AWS Resource Groups	Può accedere solo alle azioni `Get` API `List` di `Search` Resource Group e.
Amazon Route 53	Impossibile accedere o modificare le risorse gestite da Route53 AMS Advanced.
Amazon S3	Non è possibile accedere ai bucket Amazon S3 il cui nome è preceduto da:`ams-*`,, `ams` o. `ms-a` `mc-a`
AWS Security Token Service	L'unica API del servizio di token di sicurezza consentita è. `DecodeAuthorizationMessage`
Amazon SNS	Impossibile accedere agli argomenti SNS il cui nome è preceduto da: `AMS-Energon-Topic`, o. `MMS-Topic`
AWS Systems Manager Gestore (SSM)	Impossibile modificare i parametri SSM con il prefisso`ams`, `mc` o. `svc` Non è possibile utilizzare l'API SSM `SendCommand` con EC2 istanze Amazon con un tag preceduto da o. `ams` `mc`
AWS Etichettatura	Hai accesso solo alle azioni dell'API di AWS tagging con il prefisso. `Get`
AWS Lake Formation	Le seguenti azioni AWS Lake Formation API sono negate: `lakeformation:DescribeResource` `lakeformation:GetDataLakeSettings` `lakeformation:DeregisterResource` `lakeformation:RegisterResource` `lakeformation:UpdateResource` `lakeformation:PutDataLakeSettings`
Amazon Elastic Inference	Puoi chiamare solo l'azione dell'API Elastic Inference. `elastic-inference:Connect` Questa autorizzazione è inclusa nel `customer_sagemaker_admin_policy` file allegato a. `customer_sagemaker_admin_role` Questa azione consente di accedere all'acceleratore Elastic Inference.
AWS Shield	Nessun accesso a nessuno di questi servizi APIs o console.
Amazon Simple Workflow Service	Nessun accesso a nessuno di questi servizi APIs o console.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Conformità e sicurezza

Provisioning dell'infrastruttura