デベロッパーモードでの変更管理

変更管理は、AMS Advanced サービスが変更リクエストを実装するために使用するプロセスです。変更リクエスト (RFC) は、AMS Advanced インターフェイスを介してユーザーまたは AMS Advanced によって作成され、マネージド環境に変更を加えるリクエストであり、特定のオペレーションの変更タイプ (CT) ID が含まれます。詳細については、「変更管理モード」を参照してください。

開発者モードのアクセス許可が付与されている AMS Advanced アカウントでは、変更管理は適用されません。IAM ロール (AWSManagedServicesDevelopmentRoleMALZ の場合は、SALZ customer_developer_roleの場合は ) でデベロッパーモードのアクセス許可を付与されたユーザーは、ネイティブ AWS API アクセスを使用して、AMS Advanced アカウントのリソースをプロビジョニングおよび変更できます。これらのアカウントで適切なロールを持たないユーザーは、AMS Advanced 変更管理プロセスを使用して変更を行う必要があります。

重要

デベロッパーモードを使用して作成したリソースは、AMS Advanced 変更管理プロセスを使用して作成された場合にのみ、AMS Advanced によって管理できます。AMS Advanced 変更管理プロセス外で作成されたリソースについて AMS Advanced に送信された変更のリクエストは、ユーザーが処理する必要があるため、AMS Advanced によって拒否されます。

セルフサービスプロビジョニングサービス API の制限

すべての AMS Advanced セルフプロビジョニングサービスは、デベロッパーモードでサポートされています。セルフプロビジョニングサービスへのアクセスには、それぞれのユーザーガイドセクションで説明されている制限が適用されます。デベロッパーモードロールでセルフプロビジョニングサービスを使用できない場合は、デベロッパーモードの変更タイプを使用して更新されたロールをリクエストできます。

以下のサービスは、サービス APIs へのフルアクセスを提供しません。

デベロッパーモードで制限されるセルフプロビジョニングサービス
サービス	注意
Amazon API Gateway	を除くすべての Gateway APIsコールが許可されます`SetWebACL`。
Application Auto Scaling	スケーラブルターゲットの登録または登録解除、スケーリングポリシーの配置または削除のみが可能です。
AWS CloudFormation	というプレフィックスが付いた名前の CloudFormation スタックにアクセスまたは変更することはできません`mc-`。
AWS CloudTrail	`ams-` および/またはというプレフィックスが付いた名前の CloudTrail リソースにアクセスまたは変更することはできません`mc-`。
Amazon Cognito (ユーザープール）	ソフトウェアトークンを関連付けることはできません。ユーザープール、ユーザーインポートジョブ、リソースサーバー、または ID プロバイダーを作成することはできません。
AWS Directory Service	`Connect` および `WorkSpaces`サービスでは、次の Directory Service アクションのみが必要です。他のすべての Directory Service アクションは、デベロッパーモードのアクセス許可境界ポリシーによって拒否されます。 `ds:AuthorizeApplication` `ds:CreateAlias` `ds:CreateIdentityPoolDirectory` `ds:DeleteDirectory` `ds:DescribeDirectories` `ds:GetAuthorizedApplicationDetails` `ds:ListAuthorizedApplications` `ds:UnauthorizeApplication` シングルアカウントランディングゾーンアカウントでは、境界ポリシーは、開発モードが有効なアカウントへのアクセスを維持するために AMS Advanced が使用する AMS Advanced マネージドディレクトリへのアクセスを明示的に拒否します。
Amazon Elastic Compute Cloud	、`DhcpOptions`、`Gateway`、`Subnet`、`VPC`およびの文字列を含む Amazon EC2 APIs にはアクセスできません`VPN`。、`AMS`、、`ManagementHostASG`および/またはのプレフィックスが付いたタグを持つ Amazon EC2 `mc`リソースにアクセスまたは変更することはできません`sentinel`。
Amazon EC2 (レポート）	ビューアクセスのみが付与されます (変更できません）。注: Amazon EC2 レポートは移動中です。レポートメニュー項目は Amazon EC2 コンソールのナビゲーションメニューから削除されます。削除された Amazon EC2 使用状況レポートを表示するには、 AWS Billing およびコスト管理コンソールを使用します。
AWS Identity and Access Management (IAM)	既存のアクセス許可の境界を削除したり、IAM ユーザーパスワードポリシーを変更したりすることはできません。正しい IAM ロール (`AWSManagedServicesDevelopmentRole` MALZ の場合は、SALZ `customer_developer_role`の場合は ) を使用しない限り、IAM リソースを作成または変更することはできません。プレフィックスが `ams`、、`customer_deny_policy`、および/またはの IAM `mc`リソースを変更することはできません`sentinel`。新しい IAM リソース (ロール、ユーザー、またはグループ) を作成するときは、アクセス許可の境界 (MALZ: `AWSManagedServicesDevelopmentRolePermissionsBoundary`、SALZ: `ams-app-infra-permissions-boundary`) をアタッチする必要があります。
AWS Key Management Service (AWS KMS)	AMS Advanced マネージド KMS キーにアクセスまたは変更することはできません。
AWS Lambda	プレフィックスがの AWS Lambda 関数にアクセスまたは変更することはできません`AMS`。
CloudWatch Logs	、`mc`、、`lambda`および/またはというプレフィックスが付いた名前の CloudWatch `aws`ログストリームにはアクセスできません`AMS`。
Amazon Relational Database Service (Amazon RDS)	というプレフィックスが付いた名前の Amazon Relational Database Service (Amazon RDS) データベース (DBs) にアクセスまたは変更することはできません。 `mc-`
AWS Resource Groups	`Get`、、`List`および `Search`リソースグループ API アクションにのみアクセスできます。
Amazon Route 53	Route53 AMS Advanced が管理するリソースにアクセスまたは変更することはできません。
Amazon S3	、`ams-*`、、`ms-a`またはというプレフィックスが付いた名前の Amazon S3 `ams`バケットにはアクセスできません`mc-a`。
AWS Security Token Service	許可されるセキュリティトークンサービス API はのみです`DecodeAuthorizationMessage`。
Amazon SNS	、`AMS-`、`Energon-Topic`またはというプレフィックスが付いた名前の SNS トピックにはアクセスできません`MMS-Topic`。
AWS Systems Manager マネージャー (SSM)	`ams`、、`mc`またはのプレフィックスが付いた SSM パラメータを変更することはできません`svc`。 `ams` またはのプレフィックスが付いたタグを持つ Amazon EC2 インスタンス`SendCommand`に対して SSM API を使用することはできません`mc`。
AWS タグ付け	プレフィックスがの AWS タグ付け API アクションにのみアクセスできます`Get`。
AWS Lake Formation	次の AWS Lake Formation API アクションは拒否されます。 `lakeformation:DescribeResource` `lakeformation:GetDataLakeSettings` `lakeformation:DeregisterResource` `lakeformation:RegisterResource` `lakeformation:UpdateResource` `lakeformation:PutDataLakeSettings`
Amazon Elastic Inference	Elastic Inference API アクションのみを呼び出すことができます`elastic-inference:Connect`。このアクセス許可は、にアタッチ`customer_sagemaker_admin_policy`されているに含まれています`customer_sagemaker_admin_role`。このアクションにより、Elastic Inference アクセラレーターにアクセスできます。
AWS Shield	このサービスの APIs またはコンソールにはアクセスできません。
Amazon Simple Workflow Service	このサービスの APIs またはコンソールにはアクセスできません。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

セキュリティとコンプライアンス

インフラストラクチャーのプロビジョニングをします。