本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 开发者模式下的变更管理
变更管理是 AMS Advanced 服务用来实施变更请求的流程。变更请求 (RFC) 是您或 AMS Advanced 通过 AMS Advanced 界面创建的对托管环境进行更改的请求,其中包括特定操作的更改类型 (CT) ID。有关更多信息,请参阅 [更改管理模式](using-change-management.md)。
在授予开发者模式权限的 AMS Advanced 账户中,不强制执行变更管理。已获得 IAM 角色的开发者模式权限(`AWSManagedServicesDevelopmentRole`适用于 **MALZ**、`customer_developer_role` **SALZ**)的用户可以使用原生 AWS API 访问权限在其 AMS 高级账户中配置和更改资源。在这些账户中没有相应角色的用户必须使用 AMS Advanced 变更管理流程进行更改。
**重要**
只有使用 AMS Advanced 变更管理流程创建您使用开发者模式创建的资源才能由 AMS Advanced 管理。对于在 AMS Advanced 变更管理流程之外创建的资源,提交给 AMS Advanced 的更改请求会被 AMS Advanced 拒绝,因为这些请求必须由您处理。
## 自助配置服务 API 限制
开发者模式支持所有 AMS Advanced 自行配置服务。对自行配置服务的访问受每项服务的相应用户指南部分中概述的限制。如果您的开发者模式角色无法使用自行配置的服务,则可以通过开发者模式更改类型请求更新的角色。
以下服务不提供对服务的完全访问权限 APIs:
**自配服务在开发者模式下受到限制**
| 服务 | 备注 |
| --- | --- |
| Amazon API Gateway | 允许所有网关 APIs 呼叫,但以下情况除外`SetWebACL`。 |
| Application Auto Scaling | 只能注册或取消注册可扩展目标,以及放置或删除扩展策略。 |
| AWS CloudFormation | 无法访问或修改名称前缀为的 CloudFormation 堆栈。`mc-` |
| AWS CloudTrail | 无法访问或修改名称前缀为的 CloudTrail 资源。`ams-` and/or `mc-` |
| Amazon Cognito(用户池) | 无法关联软件令牌。 无法创建用户池、用户导入任务、资源服务器或身份提供商。 |
| AWS Directory Service | `Connect`和`WorkSpaces`服务只需要 Directory Service 执行以下操作。开发者模式权限边界策略拒绝所有其他 Directory Service 操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/developer-mode-change-management.html) 在单账户 landing zone 账户中,边界策略明确拒绝访问 AMS Advanced 用于维护对启用开发模式的账户的访问权限的 AMS Advanced 托管目录。 |
| Amazon Elastic Compute Cloud | 无法访问包含以下字符串 EC2 APIs 的 Amazon:`DhcpOptions``Gateway`、`Subnet`、`VPC`、和`VPN`。 无法访问或修改标签前缀为`AMS`、、`mc``ManagementHostASG`、 and/or `sentinel`的 Amazon EC2 资源。 |
| 亚马逊 EC2 (报告) | 仅授予查看权限(不能修改)。注意:Amazon EC2 Reports 正在更新。“**报告**” 菜单项将从 Amazon EC2 控制台导航菜单中删除。要在删除后查看您的 Amazon EC2 使用情况报告,请使用 AWS Billing 和成本管理控制台。 |
| AWS Identity and Access Management (IAM) | 无法删除现有权限界限,也无法修改 IAM 用户密码策略。 除非您使用正确的 IAM 角色(对于 MALZ,对`AWSManagedServicesDevelopmentRole`于 **S **ALZ****),`customer_developer_role`否则无法创建或修改 IAM 资源。 无法修改前缀为:`ams`、、`mc``customer_deny_policy`、 and/or `sentinel`的 IAM 资源。 创建新的 IAM 资源(角色、用户或群组)时,必须附加权限边界(**MALZ**: `AWSManagedServicesDevelopmentRolePermissionsBoundary`、**SALZ**:`ams-app-infra-permissions-boundary`)。 |
| AWS Key Management Service (AWS KMS) | 无法访问或修改 AMS 高级管理的 KMS 密钥。 |
| AWS Lambda | 无法访问或修改前缀为的 AWS Lambda 函数。`AMS` |
| CloudWatch 日志 | 无法访问名称前缀为:`mc`、、`aws``lambda`、 and/or `AMS`的 CloudWatch 日志流。 |
| Amazon Relational Database Service (Amazon RDS) | 无法访问或修改名称前缀为:`mc-`的亚马逊关系数据库服务 (Amazon RDSDBs) 数据库 ()。 |
| AWS Resource Groups | 只能访问`Get``List`、和`Search`资源组 API 操作。 |
| Amazon Route 53 | 无法访问或修改 Route53 AMS 高级维护的资源。 |
| Amazon S3 | 无法访问名称前缀为:`ams-*`、、`ams`或的 Amazon S3 存储桶。`ms-a` `mc-a` |
| AWS Security Token Service | 唯一允许的安全令牌服务 API 是`DecodeAuthorizationMessage`。 |
| Amazon SNS | 无法访问名称前缀为:`AMS-``Energon-Topic`、或的 SNS 主题。`MMS-Topic` |
| AWS Systems Manager 经理 (SSM) | 无法修改以`ams`、`mc`或为前缀的 SSM 参数。`svc` 无法`SendCommand`对标签前缀为或的 Amazon EC2 实例使用 SSM API。`ams` `mc` |
| AWS 标记 | 您只能访问前缀为的 AWS 标记 API 操作。`Get` |
| AWS Lake Formation | 以下 AWS Lake Formation API 操作被拒绝: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/developer-mode-change-management.html) |
| Amazon Elastic Inference | 您只能调用 Elastic Inference API 操作。`elastic-inference:Connect`此权限包含在`customer_sagemaker_admin_policy`所附的权限中`customer_sagemaker_admin_role`。此操作允许您访问 Elastic Inference 加速器。 |
| AWS Shield | 无法访问任何此服务 APIs 或控制台。 |
| Amazon Simple Workflow Service | 无法访问任何此服务 APIs 或控制台。 |