Gerenciamento de alterações no modo Desenvolvedor

O gerenciamento de mudanças é o processo que o serviço AMS Advanced usa para implementar solicitações de mudança. Uma solicitação de alteração (RFC) é uma solicitação criada por você ou pelo AMS Advanced por meio da interface do AMS Advanced para fazer uma alteração em seu ambiente gerenciado e inclui uma ID de tipo de alteração (CT) para uma operação específica. Para obter mais informações, consulte Modos de gerenciamento de alterações.

O gerenciamento de alterações não é aplicado nas contas avançadas do AMS, nas quais as permissões do modo Desenvolvedor são concedidas. Os usuários que receberam a permissão do modo Desenvolvedor com a função IAM (AWSManagedServicesDevelopmentRolepara MALZ, customer_developer_role para SALZ) podem usar o acesso nativo à AWS API para provisionar e fazer alterações nos recursos em suas contas do AMS Advanced. Os usuários que não têm a função apropriada nessas contas devem usar o processo de gerenciamento de alterações do AMS Advanced para fazer alterações.

Importante

Os recursos que você cria usando o modo Desenvolvedor só podem ser gerenciados pelo AMS Advanced se forem criados usando os processos de gerenciamento de alterações do AMS Advanced. As solicitações de alterações enviadas ao AMS Advanced para recursos criados fora do processo de gerenciamento de alterações do AMS Advanced são rejeitadas pelo AMS Advanced porque devem ser tratadas por você.

Restrições da API de serviços de provisionamento de autoatendimento

Todos os serviços autoprovisionados do AMS Advanced são compatíveis com o modo Desenvolvedor. O acesso aos serviços autoprovisionados está sujeito às limitações descritas nas respectivas seções do guia do usuário de cada um. Se um serviço autoprovisionado não estiver disponível com sua função do modo Desenvolvedor, você poderá solicitar uma função atualizada por meio do tipo de alteração do modo Desenvolvedor.

Os seguintes serviços não fornecem acesso total ao serviço APIs:

Serviços autoprovisionados restritos no modo Desenvolvedor
Serviço	Observações
Amazon API Gateway	Todas as APIs chamadas do Gateway são permitidas, exceto`SetWebACL`.
Application Auto Scaling	Só é possível registrar ou cancelar o registro de alvos escaláveis e colocar ou excluir uma política de escalabilidade.
AWS CloudFormation	Não é possível acessar ou modificar CloudFormation pilhas que tenham um nome prefixado com. `mc-`
AWS CloudTrail	Não é possível acessar ou modificar CloudTrail recursos que tenham um nome prefixado com `ams-` and/or `mc-`.
Amazon Cognito (grupos de usuários)	Não é possível associar tokens de software. Não é possível criar grupos de usuários, trabalhos de importação de usuários, servidores de recursos ou provedores de identidade.
AWS Directory Service	Somente as Directory Service ações a seguir são `Connect` exigidas pelos `WorkSpaces` serviços. Todas as outras ações do Directory Service são negadas pela política de limite de permissão do modo Desenvolvedor: `ds:AuthorizeApplication` `ds:CreateAlias` `ds:CreateIdentityPoolDirectory` `ds:DeleteDirectory` `ds:DescribeDirectories` `ds:GetAuthorizedApplicationDetails` `ds:ListAuthorizedApplications` `ds:UnauthorizeApplication` Em contas de landing zone de conta única, a política de limites nega explicitamente o acesso ao diretório gerenciado do AMS Advanced usado pelo AMS Advanced para manter o acesso às contas habilitadas para o modo dev.
Amazon Elastic Compute Cloud	Não é possível acessar a Amazon EC2 APIs que contém a string: `DhcpOptions` `GatewaySubnet`,`VPC`,, `VPN` e. Não é possível acessar ou modificar EC2 recursos da Amazon que tenham uma tag prefixada com`AMS`,, `mcManagementHostASG`, and/or `sentinel`.
Amazon EC2 (relatórios)	Somente o acesso de visualização é concedido (não é possível modificar). Observação: o Amazon EC2 Reports está mudando. O item de menu Relatórios será removido do menu de navegação EC2 do console Amazon. Para visualizar seus relatórios EC2 de uso da Amazon após sua remoção, use o AWS Billing console de gerenciamento de custos.
AWS Identity and Access Management (IAM)	Não é possível excluir os limites de permissão existentes nem modificar as políticas de senha de usuário do IAM. Não é possível criar ou modificar recursos do IAM, a menos que você esteja usando a função correta do IAM (`AWSManagedServicesDevelopmentRole`para MALZ, `customer_developer_role` para SALZ)). Não é possível modificar os recursos do IAM prefixados com:`ams`,, `mccustomer_deny_policy`, and/or `sentinel`. Ao criar um novo recurso do IAM (função, usuário ou grupo), o limite de permissão (MALZ:`AWSManagedServicesDevelopmentRolePermissionsBoundary`, SALZ:`ams-app-infra-permissions-boundary`) deve ser anexado.
AWS Key Management Service (AWS KMS)	Não é possível acessar ou modificar as chaves KMS gerenciadas pelo AMS Advanced.
AWS Lambda	Não é possível acessar ou modificar AWS Lambda funções prefixadas com`AMS`.
CloudWatch Registros	Não é possível acessar fluxos de CloudWatch log com um nome prefixado com:`mc`,,`aws`,`lambda`. and/or `AMS`
Amazon Relational Database Service (Amazon RDS)	Não é possível acessar ou modificar bancos de dados do Amazon Relational Database Service (Amazon RDS) DBs () que tenham um nome prefixado com:. `mc-`
AWS Resource Groups	Só é possível acessar `GetList`, e ações da API `Search` Resource Group.
Amazon Route 53	Não é possível acessar ou modificar os recursos mantidos pelo Route53 AMS Advanced.
Amazon S3	Não é possível acessar buckets do Amazon S3 que tenham um nome prefixado com:`ams-*`,,, `ams` ou. `ms-a` `mc-a`
AWS Security Token Service	A única API de serviço de token de segurança permitida é`DecodeAuthorizationMessage`.
Amazon SNS	Não é possível acessar tópicos do SNS que tenham um nome prefixado com:`AMS-`,`Energon-Topic`, ou. `MMS-Topic`
AWS Systems Manager Gerente (SSM)	Não é possível modificar os parâmetros SSM prefixados com `amsmc`, ou. `svc` Não é possível usar a API SSM em `SendCommand` EC2 instâncias da Amazon que tenham uma tag prefixada com `ams` ou. `mc`
AWS marcação	Você só tem acesso às ações da API de AWS marcação prefixadas com. `Get`
AWS Lake Formation	As seguintes ações de AWS Lake Formation API foram negadas: `lakeformation:DescribeResource` `lakeformation:GetDataLakeSettings` `lakeformation:DeregisterResource` `lakeformation:RegisterResource` `lakeformation:UpdateResource` `lakeformation:PutDataLakeSettings`
Amazon Elastic Inference	Você só pode chamar a ação da API Elastic Inference. `elastic-inference:Connect` Essa permissão está incluída no `customer_sagemaker_admin_policy` que está anexado ao`customer_sagemaker_admin_role`. Essa ação dá acesso ao acelerador Elastic Inference.
AWS Shield	Sem acesso a nenhum desses serviços APIs ou console.
Amazon Simple Workflow Service	Sem acesso a nenhum desses serviços APIs ou console.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Segurança e conformidade

Provisionar infraestrutura