As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Modo AMS Advanced Developer
**Topics**
+ [Introdução ao modo AMS Advanced Developer](developer-mode-implement.md)
+ [Segurança e conformidade no modo Desenvolvedor](developer-mode-security-and-compliance.md)
+ [Gerenciamento de alterações no modo Desenvolvedor](developer-mode-change-management.md)
+ [Infraestrutura de provisionamento no modo AMS Developer](developer-mode-provisioning.md)
+ [Controles de detetive no modo AMS Developer](developer-mode-detective-controls.md)
+ [Registro, monitoramento e gerenciamento de eventos no modo AMS Developer](developer-mode-logging.md)
+ [Gerenciamento de incidentes no modo AMS Developer](developer-mode-incident-management.md)
+ [Gerenciamento de patches no modo AMS Developer](developer-mode-patch-management.md)
+ [Gerenciamento de continuidade no modo AMS Developer](developer-mode-continuity.md)
+ [Gerenciamento de segurança e acesso no modo AMS Developer](developer-mode-security-and-access.md)
O modo Desenvolvedor do AWS Managed Services (AMS) usa permissões elevadas nas contas AMS Advanced Plus e Premium para provisionar e atualizar recursos da AWS fora do processo de gerenciamento de alterações do AMS Advanced. O modo Desenvolvedor Avançado do AMS faz isso aproveitando as chamadas de API nativas da AWS na Nuvem Privada Virtual (VPC) do AMS Advanced, permitindo que você projete e implemente infraestrutura e aplicativos em seu ambiente gerenciado.
Ao usar uma conta com o modo Desenvolvedor ativado, o gerenciamento de continuidade, o gerenciamento de patches e o gerenciamento de alterações são fornecidos para recursos provisionados por meio do processo de gerenciamento de alterações do AMS Advanced ou usando uma AMS Amazon Machine Image (AMI). No entanto, esses recursos de gerenciamento do AMS não são oferecidos para recursos provisionados por meio de recursos nativos. AWS APIs
Você é responsável por monitorar os recursos de infraestrutura que são provisionados fora do processo de gerenciamento de alterações do AMS Advanced. O modo de desenvolvedor é compatível com cargas de trabalho de produção e não produção. Com permissões elevadas, você tem uma responsabilidade maior de garantir a adesão aos controles internos.
**Importante**
Os recursos que você cria usando o modo Desenvolvedor só podem ser gerenciados pelo AMS Advanced se forem criados usando os processos de gerenciamento de alterações do AMS Advanced.
O modo de desenvolvedor é um dos modos avançados do AMS que você pode empregar. Para obter mais informações, consulte [Visão geral dos modos](ams-modes-ug.md).
# Introdução ao modo AMS Advanced Developer
Aprenda as várias contas do AMS Advanced com o modo Desenvolvedor Avançado do AMS e como implementar com êxito o modo Desenvolvedor.
**Topics**
+ [Antes de começar](developer-mode-faqs.md)
+ [Pré-requisitos para o modo Desenvolvedor](#developer-mode-implement-prerequisites)
+ [Como implementar o modo Desenvolvedor](#developer-mode-implement-steps)
+ [Permissões do modo de desenvolvedor](#developer-mode-role)
# Antes de começar com o modo AMS Developer
Antes de implementar o modo Desenvolvedor, há algumas coisas que você deve saber.
O AMS Advanced não pode gerenciar pilhas ou recursos existentes em uma DevMode conta criada fora do processo de gerenciamento de alterações do AMS Advanced por meio de solicitações de alteração (RFCs). No entanto, enquanto a conta está ativa DevMode, o AMS Advanced continua gerenciando os recursos provisionados por meio do processo de gerenciamento de alterações do AMS Advanced com. RFCs
Você não pode começar com uma DevMode conta e depois convertê-la em uma conta de aplicativo gerenciada pelo AMS Advanced.
## Pré-requisitos para o modo AMS Developer
A seguir estão os pré-requisitos para implementar o modo Desenvolvedor:
+ Você deve ser um cliente do AMS Advanced com pelo menos uma conta AMS Advanced Plus ou Premium integrada.
+ Qualquer conta que você usa deve ser uma conta AMS Advanced Plus ou Premium.
+ **Zona de destino de várias contas (MALZ)**: você deve usar a função `AWSManagedServicesDevelopmentRole` predefinida AWS Identity and Access Management (IAM). Você solicita essa função. A próxima seção descreve como adquirir as permissões do modo Desenvolvedor.
+ **Zona de destino de conta única (SALZ)**: você deve usar a função `customer_developer_role` predefinida AWS Identity and Access Management (IAM). Você solicita essa função. A próxima seção descreve como adquirir as permissões do modo Desenvolvedor.
## Como implementar o modo AMS Advanced Developer
Você implementa o modo Desenvolvedor solicitando que sua conta qualificada do AMS Advanced seja provisionada com a função predefinida do IAM:
+ **MALZ:** `AWSManagedServicesDevelopmentRole`
+ **SAL:** `customer_developer_role`
Em seguida, você atribui a função aos usuários relevantes em sua rede federada.
O AMS Advanced recomenda que você garanta que o uso do modo Desenvolvedor esteja em conformidade com suas estruturas e padrões de controle interno, pois o modo Desenvolvedor cria dois vetores de mudança: gerenciamento avançado de alterações do AMS para recursos gerenciados pelo AMS Advanced e federação de funções gerenciadas pelo cliente para recursos que você, como nosso cliente, gerencia. Embora os processos do AMS Advanced permaneçam em conformidade com nossas declarações, os processos do cliente e as estruturas de controle talvez precisem ser atualizados.
**Para implementar o modo Desenvolvedor em sua conta do AMS Advanced**
1. Confirme se a conta que você deseja usar com o modo Desenvolvedor atende aos requisitos listados em[Pré-requisitos para o modo AMS Developer](#developer-mode-implement-prerequisites).
1. Envie uma solicitação de alteração (RFC) usando o tipo de alteração (CT) Gerenciamento \$1 Conta gerenciada \$1 Modo de desenvolvedor \$1 Ativar (automação gerenciada). Para obter um exemplo de como usar essa CT, consulte [Modo de desenvolvedor \$1 Ativar (automação gerenciada)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-developer-mode-enable-review-required.html).
Depois que a CT é processada, a função predefinida do IAM (`AWSManagedServicesDevelopmentRole`para **MALZ**, `customer_developer_role` para **SALZ**) é provisionada na conta solicitada.
1. Atribua a função apropriada aos usuários que precisam de acesso ao modo Desenvolvedor usando seu processo interno de federação.
O AMS Advanced recomenda que você limite o acesso para evitar o provisionamento indesejado ou não aprovado de recursos ou alterações nos mesmos.
## Permissões do modo Desenvolvedor Avançado do AMS
A função predefinida (`AWSManagedServicesDevelopmentRole`para **MALZ, para **SALZ****) concede permissão `customer_developer_role` para criar recursos de infraestrutura de aplicativos dentro da VPC avançada do AMS, incluindo funções do IAM, ao mesmo tempo em que restringe o acesso aos componentes de *serviços compartilhados* que são operados pelo AMS Advanced (por exemplo, hosts de gerenciamento, controladores de domínio, Trend Micro EPS, bastiões e serviços da AWS sem suporte). A função também restringe o acesso aos seguintes registros Serviços da AWS: Amazon GuardDuty,, AWS Organizations AWS Directory Service APIs, e AMS Advanced.
Embora a função permita que você crie funções adicionais do IAM, os mesmos limites de permissões incluídos no acesso ao modo Desenvolvedor são aplicados em qualquer função do IAM criada pelo`AWSManagedServicesDevelopmentRole`.
# Segurança e conformidade no modo Desenvolvedor
Segurança e conformidade são uma responsabilidade compartilhada entre a AMS Advanced e você como nosso cliente. O modo Desenvolvedor Avançado do AMS transfere para você a responsabilidade compartilhada pelos recursos provisionados fora do processo de gerenciamento de alterações ou provisionados por meio do gerenciamento de alterações, mas atualizados com as permissões do modo Desenvolvedor. Para obter mais informações sobre responsabilidade compartilhada, consulte [AWS Managed Services](https://aws.amazon.com/managed-services/).
**Precauções:**
+ DevMode permite que você e sua equipe autorizada ignorem os deny-by-default princípios fundamentais da segurança do AMS. As vantagens, o autoatendimento e o menor tempo de espera pelo AMS, devem ser comparadas às desvantagens. Qualquer pessoa pode realizar ações inesperadas e destrutivas sem o conhecimento de sua equipe de segurança. Os tipos de alteração automatizados para ativar o modo Dev e o modo Direct Change são expostos, e qualquer pessoa autorizada em sua organização pode executá-los CTs e habilitar esses modos.
+ Você é responsável por gerenciar as permissões de execução de CT da sua base de usuários.
+ O AMS não gerencia as permissões de execução de CT
**Recomendações:**
+ **Proteja**
+ Os clientes podem impedir o acesso a essa CT por meio de permissão, consulte [Restringir permissões com declarações de política de função do IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/request-iam-user.html)
+ Impeça o acesso a essa CT implementando um proxy, como um sistema ITSM
+ Utilize políticas de controle de serviço (SCPs) que previnam políticas e comportamentos conforme necessário, consulte a Biblioteca de Controles [Preventivos e Detectivos do AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html)
+ **Detectar**
+ Monitore seus RFCs para ver se eles CTs (habilitar o modo de desenvolvedor ct-1opjmhuddw194 e modo de mudança direta, habilitar ct-3rd4781c2nnhp) estão sendo executados e responda adequadamente
+ Analise a presença dos recursos do IAM em suas and/or contas para identificar as contas em que o modo Desenvolvedor ou o modo de Alteração Direta foram implantados.
+ **Responda**
+ Remova contas no modo Desenvolvedor conforme necessário
## Segurança no modo Desenvolvedor
O AMS Advanced oferece valor adicional com uma landing zone prescritiva, um sistema de gerenciamento de mudanças e gerenciamento de acesso. Ao usar o modo Desenvolvedor, o valor de segurança do AMS Advanced é mantido usando a mesma configuração de conta das contas padrão do AMS Advanced que estabelece a linha de base da rede reforçada de segurança do AMS Advanced. A rede é protegida pelo limite de permissões imposto na função (`AWSManagedServicesDevelopmentRole`para **MALZ, `customer_developer_role` para **SALZ****), o que impede o usuário de quebrar as proteções de parâmetros estabelecidas quando a conta é configurada.
Por exemplo, usuários com a função podem acessar o Amazon Route 53, mas a zona hospedada interna do AMS Advanced é restrita. Os mesmos limites de permissões são aplicados em uma função do IAM criada pelo`AWSManagedServicesDevelopmentRole`, impondo limites de permissões à `AWSManagedServicesDevelopmentRole` que impede o usuário de detalhar as proteções de parâmetros estabelecidas quando a conta é integrada ao AMS Advanced.
## Conformidade no modo Desenvolvedor
O modo de desenvolvedor é compatível com cargas de trabalho de produção e não produção. É sua responsabilidade garantir a adesão a quaisquer padrões de conformidade (por exemplo, PHI, HIPAA, PCI) e garantir que o uso do modo Desenvolvedor esteja em conformidade com suas estruturas e padrões de controle interno.
# Gerenciamento de alterações no modo Desenvolvedor
O gerenciamento de mudanças é o processo que o serviço AMS Advanced usa para implementar solicitações de mudança. Uma solicitação de alteração (RFC) é uma solicitação criada por você ou pelo AMS Advanced por meio da interface do AMS Advanced para fazer uma alteração em seu ambiente gerenciado e inclui uma ID de tipo de alteração (CT) para uma operação específica. Para obter mais informações, consulte [Modos de gerenciamento de alterações](using-change-management.md).
O gerenciamento de alterações não é aplicado nas contas avançadas do AMS, nas quais as permissões do modo Desenvolvedor são concedidas. Os usuários que receberam a permissão do modo Desenvolvedor com a função IAM (`AWSManagedServicesDevelopmentRole`para **MALZ, `customer_developer_role` para **SALZ****) podem usar o acesso nativo à AWS API para provisionar e fazer alterações nos recursos em suas contas do AMS Advanced. Os usuários que não têm a função apropriada nessas contas devem usar o processo de gerenciamento de alterações do AMS Advanced para fazer alterações.
**Importante**
Os recursos que você cria usando o modo Desenvolvedor só podem ser gerenciados pelo AMS Advanced se forem criados usando os processos de gerenciamento de alterações do AMS Advanced. As solicitações de alterações enviadas ao AMS Advanced para recursos criados fora do processo de gerenciamento de alterações do AMS Advanced são rejeitadas pelo AMS Advanced porque devem ser tratadas por você.
## Restrições da API de serviços de provisionamento de autoatendimento
Todos os serviços autoprovisionados do AMS Advanced são compatíveis com o modo Desenvolvedor. O acesso aos serviços autoprovisionados está sujeito às limitações descritas nas respectivas seções do guia do usuário de cada um. Se um serviço autoprovisionado não estiver disponível com sua função do modo Desenvolvedor, você poderá solicitar uma função atualizada por meio do tipo de alteração do modo Desenvolvedor.
Os seguintes serviços não fornecem acesso total ao serviço APIs:
**Serviços autoprovisionados restritos no modo Desenvolvedor**
| Serviço | Observações |
| --- | --- |
| Amazon API Gateway | Todas as APIs chamadas do Gateway são permitidas, exceto`SetWebACL`. |
| Application Auto Scaling | Só é possível registrar ou cancelar o registro de alvos escaláveis e colocar ou excluir uma política de escalabilidade. |
| AWS CloudFormation | Não é possível acessar ou modificar CloudFormation pilhas que tenham um nome prefixado com. `mc-` |
| AWS CloudTrail | Não é possível acessar ou modificar CloudTrail recursos que tenham um nome prefixado com `ams-` and/or `mc-`. |
| Amazon Cognito (grupos de usuários) | Não é possível associar tokens de software. Não é possível criar grupos de usuários, trabalhos de importação de usuários, servidores de recursos ou provedores de identidade. |
| AWS Directory Service | Somente as Directory Service ações a seguir são `Connect` exigidas pelos `WorkSpaces` serviços. Todas as outras ações do Directory Service são negadas pela política de limite de permissão do modo Desenvolvedor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/onboardingguide/developer-mode-change-management.html) Em contas de landing zone de conta única, a política de limites nega explicitamente o acesso ao diretório gerenciado do AMS Advanced usado pelo AMS Advanced para manter o acesso às contas habilitadas para o modo dev. |
| Amazon Elastic Compute Cloud | Não é possível acessar a Amazon EC2 APIs que contém a string: `DhcpOptions` `Gateway``Subnet`,`VPC`,, `VPN` e. Não é possível acessar ou modificar EC2 recursos da Amazon que tenham uma tag prefixada com`AMS`,, `mc``ManagementHostASG`, and/or `sentinel`. |
| Amazon EC2 (relatórios) | Somente o acesso de visualização é concedido (não é possível modificar). Observação: o Amazon EC2 Reports está mudando. O item de menu **Relatórios** será removido do menu de navegação EC2 do console Amazon. Para visualizar seus relatórios EC2 de uso da Amazon após sua remoção, use o AWS Billing console de gerenciamento de custos. |
| AWS Identity and Access Management (IAM) | Não é possível excluir os limites de permissão existentes nem modificar as políticas de senha de usuário do IAM. Não é possível criar ou modificar recursos do IAM, a menos que você esteja usando a função correta do IAM (`AWSManagedServicesDevelopmentRole`para **MALZ**, `customer_developer_role` para **SALZ**)). Não é possível modificar os recursos do IAM prefixados com:`ams`,, `mc``customer_deny_policy`, and/or `sentinel`. Ao criar um novo recurso do IAM (função, usuário ou grupo), o limite de permissão (**MALZ:`AWSManagedServicesDevelopmentRolePermissionsBoundary`, **SALZ****:`ams-app-infra-permissions-boundary`) deve ser anexado. |
| AWS Key Management Service (AWS KMS) | Não é possível acessar ou modificar as chaves KMS gerenciadas pelo AMS Advanced. |
| AWS Lambda | Não é possível acessar ou modificar AWS Lambda funções prefixadas com`AMS`. |
| CloudWatch Registros | Não é possível acessar fluxos de CloudWatch log com um nome prefixado com:`mc`,,`aws`,`lambda`. and/or `AMS` |
| Amazon Relational Database Service (Amazon RDS) | Não é possível acessar ou modificar bancos de dados do Amazon Relational Database Service (Amazon RDS) DBs () que tenham um nome prefixado com:. `mc-` |
| AWS Resource Groups | Só é possível acessar `Get``List`, e ações da API `Search` Resource Group. |
| Amazon Route 53 | Não é possível acessar ou modificar os recursos mantidos pelo Route53 AMS Advanced. |
| Amazon S3 | Não é possível acessar buckets do Amazon S3 que tenham um nome prefixado com:`ams-*`,,, `ams` ou. `ms-a` `mc-a` |
| AWS Security Token Service | A única API de serviço de token de segurança permitida é`DecodeAuthorizationMessage`. |
| Amazon SNS | Não é possível acessar tópicos do SNS que tenham um nome prefixado com:`AMS-`,`Energon-Topic`, ou. `MMS-Topic` |
| AWS Systems Manager Gerente (SSM) | Não é possível modificar os parâmetros SSM prefixados com `ams``mc`, ou. `svc` Não é possível usar a API SSM em `SendCommand` EC2 instâncias da Amazon que tenham uma tag prefixada com `ams` ou. `mc` |
| AWS marcação | Você só tem acesso às ações da API de AWS marcação prefixadas com. `Get` |
| AWS Lake Formation | As seguintes ações de AWS Lake Formation API foram negadas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/onboardingguide/developer-mode-change-management.html) |
| Amazon Elastic Inference | Você só pode chamar a ação da API Elastic Inference. `elastic-inference:Connect` Essa permissão está incluída no `customer_sagemaker_admin_policy` que está anexado ao`customer_sagemaker_admin_role`. Essa ação dá acesso ao acelerador Elastic Inference. |
| AWS Shield | Sem acesso a nenhum desses serviços APIs ou console. |
| Amazon Simple Workflow Service | Sem acesso a nenhum desses serviços APIs ou console. |
# Infraestrutura de provisionamento no modo AMS Developer
Os usuários que não têm a função IAM do modo Desenvolvedor`AWSManagedServicesDevelopmentRole`, em contas em que o modo Desenvolvedor está ativado, devem seguir o processo de gerenciamento de alterações do AMS Advanced que aproveita o AMS Advanced AMIs. Usuários com a função correta (**MALZ:`AWSManagedServicesDevelopmentRole`, **SALZ****:`customer_developer_role`) podem usar o sistema de gerenciamento de alterações AMS Advanced e o AMS Advanced AMIs , mas não precisam.
**nota**
Uma AWS AMI que não tenha sido processada por meio da ingestão de carga de trabalho do AMS Advanced ou criada em uma conta do AMS Advanced não incluirá as configurações exigidas pelo AMS Advanced.
# Controles de detetive no modo AMS Developer
Esta seção foi redigida porque contém informações confidenciais relacionadas à segurança do AMS. Essas informações estão disponíveis na **documentação** do console AMS. Para acessar o AWS Artifact, você pode entrar em contato com seu CSDM para obter instruções ou acessar Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
# Registro, monitoramento e gerenciamento de eventos no modo AMS Developer
O registro, o monitoramento e o gerenciamento de eventos não estão disponíveis para recursos provisionados fora do processo de gerenciamento de alterações do AMS Advanced ou para recursos provisionados por meio do gerenciamento de alterações e depois alterados por uma conta usando as permissões do modo Desenvolvedor.
# Gerenciamento de incidentes no modo AMS Developer
Nenhuma alteração nos tempos de resposta a incidentes. A resolução de incidentes é o melhor esforço para recursos provisionados fora do processo de gerenciamento de alterações ou recursos provisionados por meio do gerenciamento de alterações e depois alterados por uma conta usando as permissões do modo Desenvolvedor.
**nota**
O acordo de nível de serviço (SLA) do AMS não se aplica aos recursos criados ou atualizados fora do sistema de gerenciamento de alterações do AMS (solicitações de mudança ou RFCs), incluindo o modo Desenvolvedor; portanto, os recursos atualizados ou criados no modo Desenvolvedor são automaticamente degradados para P3, e o suporte do AMS é o melhor esforço.
# Gerenciamento de patches no modo AMS Developer
O gerenciamento de patches não está disponível para recursos provisionados fora do processo de gerenciamento de alterações do AMS Advanced ou para recursos provisionados por meio do gerenciamento de alterações e depois alterados por uma conta usando as permissões do modo Desenvolvedor. Tempos de aplicação de patches:
+ Para uma atualização crítica de segurança: dentro de 10 dias úteis após o lançamento pelo fornecedor dos recursos provisionados por meio do gerenciamento de alterações e depois alterados por uma conta usando as permissões do modo Desenvolvedor.
+ Para uma atualização importante: dentro de 2 meses após o lançamento pelo fornecedor dos recursos provisionados por meio do gerenciamento de alterações e depois alterados por uma conta usando as permissões do modo Desenvolvedor.
# Gerenciamento de continuidade no modo AMS Developer
O gerenciamento de continuidade não está disponível para recursos provisionados fora do processo de gerenciamento de alterações do AMS Advanced ou para recursos provisionados por meio do gerenciamento de alterações e depois alterados por uma conta usando as permissões do modo Desenvolvedor.
O tempo de início da recuperação do ambiente pode levar até 12 horas para recursos provisionados fora do processo de gerenciamento de alterações do AMS Advanced ou para recursos provisionados por meio do gerenciamento de alterações e depois alterados por uma conta usando as permissões do modo Desenvolvedor.
# Gerenciamento de segurança e acesso no modo AMS Developer
A proteção antimalware é de sua responsabilidade pelos recursos provisionados fora do processo de gerenciamento de alterações do AMS Advanced ou pelos recursos provisionados por meio do gerenciamento de alterações e depois alterados por uma conta usando as permissões do modo Desenvolvedor. O acesso às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não provisionadas por meio do gerenciamento avançado de alterações do AMS pode ser controlado por pares de chaves em vez de fornecer acesso federado.