デベロッパーモードでのセキュリティとコンプライアンス

セキュリティとコンプライアンスは、AMS Advanced とお客様との間の責任共有です。AMS アドバンストデベロッパーモードは、変更管理プロセス外でプロビジョニングされたリソース、または変更管理を通じてプロビジョニングされたリソースに対して、デベロッパーモードのアクセス許可で更新されたリソースに対する責任共有を移行します。責任共有の詳細については、AWS Managed Services」を参照してください。

注意：

DevMode を使用すると、ユーザーと承認されたチームは、AMS セキュリティの中核となるdeny-by-defaultの原則を回避できます。利点、セルフサービス、AMS の待機時間の短縮は欠点と照らし合わせて検討する必要があります。セキュリティチームの知識がなくても、誰でも予期しない破壊的なアクションを実行できます。開発モードと直接変更モードを有効にする自動変更タイプが公開され、組織内の承認されたユーザーがこれらの CTsを実行してこれらのモードを有効にすることができます。
ユーザーベースからの CT 実行のアクセス許可を管理する責任があります。
AMS は CT 実行アクセス許可を管理しません

推奨事項:

保護
- お客様は、アクセス許可によってこの CT へのアクセスを防ぐことができます。「IAM ロールポリシーステートメントによるアクセス許可の制限」を参照してください。
- ITSM システムなどのプロキシを実装してこの CT へのアクセスを防止する
- 必要に応じてポリシーと動作を防止するサービスコントロールポリシー (SCPs「AMS Preventative and Detective Controls Library」を参照してください。
検出
- これらの CTs の RFC をモニタリングし (開発者モード ct-1opjmhuddw194 と直接変更モードを有効にする、ct-3rd4781c2nnhp を有効にする）、それに応じて応答します。
- アカウントで IAM リソースの有無を確認および/または監査して、デベロッパーモードまたは直接変更モードがデプロイされているアカウントを特定します。
応答
- 必要に応じてデベロッパーモードでアカウントを削除する

デベロッパーモードのセキュリティ

AMS Advanced は、規範的なランディングゾーン、変更管理システム、アクセス管理で追加の値を提供します。デベロッパーモードを使用する場合、AMS Advanced のセキュリティ値は、ベースライン AMS Advanced セキュリティ強化ネットワークを確立する標準 AMS Advanced アカウントと同じアカウント設定を使用して保持されます。ネットワークは、ロール (AWSManagedServicesDevelopmentRoleMALZ の場合は MALZ、SALZ customer_developer_roleの場合は ) で強制されるアクセス許可の境界によって保護されます。これにより、ユーザーは、アカウントの設定時に確立されたパラメータ保護を破ることが制限されます。

たとえば、ロールを持つユーザーは Amazon Route 53 にアクセスできますが、AMS Advanced の内部ホストゾーンは制限されています。によって作成された IAM ロールにも同じアクセス許可の境界が適用されAWSManagedServicesDevelopmentRole、アカウントAWSManagedServicesDevelopmentRoleが AMS Advanced にオンボーディングされたときに確立されたパラメータ保護をユーザーが壊すことを制限するアクセス許可の境界がに強制されます。

デベロッパーモードでのコンプライアンス

デベロッパーモードは、本番ワークロードと非本番ワークロードの両方と互換性があります。コンプライアンス標準 (PHI、HIPAA、PCI など) を確実に順守し、デベロッパーモードの使用が内部管理フレームワークと標準に準拠していることを確認するのはお客様の責任です。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

[開始する前に]

変更管理