本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AMS 高级开发者模式
**Topics**
+ [AMS 高级开发者模式入门](developer-mode-implement.md)
+ [开发者模式下的安全性与合规性](developer-mode-security-and-compliance.md)
+ [开发者模式下的变更管理](developer-mode-change-management.md)
+ [在 AMS 开发者模式下配置基础架构](developer-mode-provisioning.md)
+ [AMS 开发者模式下的 Detective 控件](developer-mode-detective-controls.md)
+ [在 AMS 开发者模式下记录、监控和事件管理](developer-mode-logging.md)
+ [AMS 开发者模式下的事件管理](developer-mode-incident-management.md)
+ [AMS 开发者模式下的补丁管理](developer-mode-patch-management.md)
+ [AMS 开发人员模式下的连续性管理](developer-mode-continuity.md)
+ [AMS 开发者模式下的安全和访问管理](developer-mode-security-and-access.md)
AWS Managed Services (AMS) 开发者模式使用 AMS 高级增强版和高级版账户中的提升权限在 AMS 高级变更管理流程之外配置和更新 AWS 资源。AMS 高级开发人员模式通过利用 AMS 高级虚拟私有云 (VPC) 中的原生 AWS API 调用来实现这一点,使您能够在托管环境中设计和实施基础设施和应用程序。
使用启用了开发者模式的账户时,将为通过 AMS 高级变更管理流程或使用 AMS Amazon 系统映像 (AMI) 配置的资源提供连续性管理、补丁管理和变更管理。但是,这些 AMS 管理功能不适用于通过本机 AWS APIs配置的资源。
您负责监控在 AMS Advanced 变更管理流程之外配置的基础设施资源。开发者模式与生产和非生产工作负载兼容。有了更高的权限,您就有更多的责任来确保遵守内部控制。
**重要**
只有使用 AMS Advanced 变更管理流程创建您使用开发者模式创建的资源才能由 AMS Advanced 管理。
开发者模式是您可以采用的 AMS 高级模式之一。有关更多信息,请参阅 [模式概述](ams-modes-ug.md)。
# AMS 高级开发者模式入门
了解使用 AMS 高级开发者模式的各种 AMS 高级账户以及如何成功实现开发者模式。
**Topics**
+ [开始前的准备工作](developer-mode-faqs.md)
+ [开发者模式的先决条件](#developer-mode-implement-prerequisites)
+ [如何实现开发者模式](#developer-mode-implement-steps)
+ [开发者模式权限](#developer-mode-role)
# 开始使用 AMS 开发者模式之前
在实现开发者模式之前,你应该知道几件事。
AMS Advanced 无法管理在 AMS Advanced 变更管理流程之外通过变更请求创建的 DevMode 账户中的现有堆栈或资源 (RFCs)。但是,当账户处于开启状态时 DevMode,AMS Advanced 将继续使用管理通过 AMS Advanced 变更管理流程配置的 RFCs资源。
您不能先使用 DevMode 账户,然后再将其转换为 AMS Advanced 管理的应用程序账户。
## AMS 开发者模式的先决条件
以下是实现开发者模式的先决条件:
+ 您必须是 AMS Advanced 客户,并且至少有一个已注册的 AMS Advanced Plus 或高级账户。
+ 您使用的任何账户都必须是 AMS Advanced Plus 或高级账户。
+ **多账户登录区 (MALZ)**:您必须使用`AWSManagedServicesDevelopmentRole`预定义的 AWS Identity and Access Management (IAM) 角色。你申请这个角色。下一节将介绍如何获取开发者模式权限。
+ **单账户登录区 (SALZ)**:您必须使用`customer_developer_role`预定义的 AWS Identity and Access Management (IAM) 角色。你申请这个角色。下一节将介绍如何获取开发者模式权限。
## 如何实现 AMS 高级开发者模式
您可以通过请求为符合条件的 AMS Advanced 账户配置预定义的 IAM 角色来实现开发者模式:
+ **MALZ**:`AWSManagedServicesDevelopmentRole`
+ **SALZ**:`customer_developer_role`
然后,您将该角色分配给联合网络中的相关用户。
AMS Advanced 建议您确保开发者模式的使用符合您的内部控制框架和标准,因为开发者模式会带来两个变革向量:AMS Advanced 管理的资源的 AMS Advanced 变更管理以及针对您(作为我们的客户)管理的资源的客户管理角色联合。虽然 AMS Advanced 流程仍然符合我们的声明,但可能需要更新客户流程和控制框架。
**在您的 AMS 高级账户中实现开发者模式**
1. 确认您要在开发者模式下使用的账户符合中列出的要求[AMS 开发者模式的先决条件](#developer-mode-implement-prerequisites)。
1. 使用变更类型 (CT) 管理 \$1 托管账户 \$1 开发者模式 \$1 启用(托管自动化)提交变更请求 (RFC)。有关如何使用此 CT 的示例,请参阅[开发者模式 \$1 启用(托管自动化)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-developer-mode-enable-review-required.html)。
处理 CT 后,将在请求的账户中配置预定义的 IAM 角色(`AWSManagedServicesDevelopmentRole`对`customer_developer_role`于 **M** **ALZ,对于 SALZ**)。
1. 使用您的内部联合流程为需要开发者模式访问权限的用户分配相应的角色。
AMS Advanced 建议您限制访问权限,以防止不必要或未经批准地配置或更改资源。
## AMS 高级开发者模式权限
预定义角色(适用`AWSManagedServicesDevelopmentRole`于 **MALZ**,`customer_developer_role`对于 **SALZ**)授予在 AMS 高级 VPC 中创建应用程序基础设施资源的权限,包括 IAM 角色,同时限制访问由 AMS Advanced 运营的*共享服务*组件(例如,管理主机、域控制器、趋势科技 EPS、堡垒和不支持的 AWS 服务)。该角色还限制对以下内容的访问 AWS 服务:Amazon GuardDuty、 AWS Organizations AWS Directory Service APIs、和 AMS Advanced 日志。
虽然该角色允许您创建其他 IAM 角色,但开发人员模式访问权限中包含的相同权限限制也适用于由创建的任何 IAM 角色`AWSManagedServicesDevelopmentRole`。
# 开发者模式下的安全性与合规性
安全与合规是 AMS Advanced 和您作为我们的客户的共同责任。AMS Advanced Developer 模式将您在变更管理流程之外配置的资源或通过变更管理配置但使用开发者模式权限更新的资源的共同责任转移给您。有关分担责任的更多信息,请参阅 [AWS Managed Services](https://aws.amazon.com/managed-services/)。
**注意事项:**
+ DevMode 允许您和您的授权团队绕过 AMS 安全的核心 deny-by-default原则。必须权衡自助服务、减少等待 AMS 的优点和缺点,任何人都可以在安全团队不知情的情况下执行意想不到的破坏性操作。用于启用开发模式和直接更改模式的自动更改类型已公开,您组织中的任何授权人员都可以运行这些类型 CTs 并启用这些模式。
+ 您负责从您的用户群中管理 CT 执行权限。
+ AMS 不管理 CT 执行权限
**建议**
+ **保护**
+ 客户可以通过权限阻止访问此 CT,请参阅[使用 IAM 角色策略声明限制权限](https://docs.aws.amazon.com/managedservices/latest/userguide/request-iam-user.html)
+ 通过实施代理(例如 ITSM 系统)来阻止对此 CT 的访问
+ 利用服务控制策略 (SCPs),根据需要阻止策略和行为,请参阅 [AMS Preventical 和 Detective Control](https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html) s 库
+ **检测**
+ 监视你的 RFC 是否正在执行这些内容 CTs (启用开发者模式 ct-1opjmhuddw194 和直接更改模式,启用 ct-3rd4781c2nnhp)并做出相应的响应
+ 查看 and/or 您的账户是否存在 IAM 资源,以确定部署了开发者模式或直接变更模式的账户
+ **回应**
+ 根据需要在开发者模式下移除账户
## 开发者模式下的安全性
AMS Advanced 通过规范性的着陆区、变更管理系统和访问管理提供了额外的价值。使用开发者模式时,AMS Advanced 的安全值通过使用与标准 AMS Advanced 账户相同的账户配置来保持 AMS Advanced 的安全值,该账户配置与 AMS Advanced 的基准安全强化网络相同。网络受角色中强制执行的权限边界的保护(`AWSManagedServicesDevelopmentRole`对于 **MALZ**,`customer_developer_role`对于 **SALZ**),这限制了用户破坏在设置账户时建立的参数保护。
例如,具有该角色的用户可以访问 Amazon Route 53,但是 AMS 高级内部托管区域受到限制。对创建的 IAM 角色强制执行相同的权限边界`AWSManagedServicesDevelopmentRole`,从而限制用户破坏账户加入 AMS Advanced 时建立的参数保护。`AWSManagedServicesDevelopmentRole`
## 开发者模式下的合规性
开发者模式与生产和非生产工作负载兼容。您有责任确保遵守任何合规标准(例如 PHI、HIPAA、PCI),并确保开发人员模式的使用符合您的内部控制框架和标准。
# 开发者模式下的变更管理
变更管理是 AMS Advanced 服务用来实施变更请求的流程。变更请求 (RFC) 是您或 AMS Advanced 通过 AMS Advanced 界面创建的对托管环境进行更改的请求,其中包括特定操作的更改类型 (CT) ID。有关更多信息,请参阅 [更改管理模式](using-change-management.md)。
在授予开发者模式权限的 AMS Advanced 账户中,不强制执行变更管理。已获得 IAM 角色的开发者模式权限(`AWSManagedServicesDevelopmentRole`适用于 **MALZ**、`customer_developer_role` **SALZ**)的用户可以使用原生 AWS API 访问权限在其 AMS 高级账户中配置和更改资源。在这些账户中没有相应角色的用户必须使用 AMS Advanced 变更管理流程进行更改。
**重要**
只有使用 AMS Advanced 变更管理流程创建您使用开发者模式创建的资源才能由 AMS Advanced 管理。对于在 AMS Advanced 变更管理流程之外创建的资源,提交给 AMS Advanced 的更改请求会被 AMS Advanced 拒绝,因为这些请求必须由您处理。
## 自助配置服务 API 限制
开发者模式支持所有 AMS Advanced 自行配置服务。对自行配置服务的访问受每项服务的相应用户指南部分中概述的限制。如果您的开发者模式角色无法使用自行配置的服务,则可以通过开发者模式更改类型请求更新的角色。
以下服务不提供对服务的完全访问权限 APIs:
**自配服务在开发者模式下受到限制**
| 服务 | 备注 |
| --- | --- |
| Amazon API Gateway | 允许所有网关 APIs 呼叫,但以下情况除外`SetWebACL`。 |
| Application Auto Scaling | 只能注册或取消注册可扩展目标,以及放置或删除扩展策略。 |
| AWS CloudFormation | 无法访问或修改名称前缀为的 CloudFormation 堆栈。`mc-` |
| AWS CloudTrail | 无法访问或修改名称前缀为的 CloudTrail 资源。`ams-` and/or `mc-` |
| Amazon Cognito(用户池) | 无法关联软件令牌。 无法创建用户池、用户导入任务、资源服务器或身份提供商。 |
| AWS Directory Service | `Connect`和`WorkSpaces`服务只需要 Directory Service 执行以下操作。开发者模式权限边界策略拒绝所有其他 Directory Service 操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/developer-mode-change-management.html) 在单账户 landing zone 账户中,边界策略明确拒绝访问 AMS Advanced 用于维护对启用开发模式的账户的访问权限的 AMS Advanced 托管目录。 |
| Amazon Elastic Compute Cloud | 无法访问包含以下字符串 EC2 APIs 的 Amazon:`DhcpOptions``Gateway`、`Subnet`、`VPC`、和`VPN`。 无法访问或修改标签前缀为`AMS`、、`mc``ManagementHostASG`、 and/or `sentinel`的 Amazon EC2 资源。 |
| 亚马逊 EC2 (报告) | 仅授予查看权限(不能修改)。注意:Amazon EC2 Reports 正在更新。“**报告**” 菜单项将从 Amazon EC2 控制台导航菜单中删除。要在删除后查看您的 Amazon EC2 使用情况报告,请使用 AWS Billing 和成本管理控制台。 |
| AWS Identity and Access Management (IAM) | 无法删除现有权限界限,也无法修改 IAM 用户密码策略。 除非您使用正确的 IAM 角色(对于 MALZ,对`AWSManagedServicesDevelopmentRole`于 **S **ALZ****),`customer_developer_role`否则无法创建或修改 IAM 资源。 无法修改前缀为:`ams`、、`mc``customer_deny_policy`、 and/or `sentinel`的 IAM 资源。 创建新的 IAM 资源(角色、用户或群组)时,必须附加权限边界(**MALZ**: `AWSManagedServicesDevelopmentRolePermissionsBoundary`、**SALZ**:`ams-app-infra-permissions-boundary`)。 |
| AWS Key Management Service (AWS KMS) | 无法访问或修改 AMS 高级管理的 KMS 密钥。 |
| AWS Lambda | 无法访问或修改前缀为的 AWS Lambda 函数。`AMS` |
| CloudWatch 日志 | 无法访问名称前缀为:`mc`、、`aws``lambda`、 and/or `AMS`的 CloudWatch 日志流。 |
| Amazon Relational Database Service (Amazon RDS) | 无法访问或修改名称前缀为:`mc-`的亚马逊关系数据库服务 (Amazon RDSDBs) 数据库 ()。 |
| AWS Resource Groups | 只能访问`Get``List`、和`Search`资源组 API 操作。 |
| Amazon Route 53 | 无法访问或修改 Route53 AMS 高级维护的资源。 |
| Amazon S3 | 无法访问名称前缀为:`ams-*`、、`ams`或的 Amazon S3 存储桶。`ms-a` `mc-a` |
| AWS Security Token Service | 唯一允许的安全令牌服务 API 是`DecodeAuthorizationMessage`。 |
| Amazon SNS | 无法访问名称前缀为:`AMS-``Energon-Topic`、或的 SNS 主题。`MMS-Topic` |
| AWS Systems Manager 经理 (SSM) | 无法修改以`ams`、`mc`或为前缀的 SSM 参数。`svc` 无法`SendCommand`对标签前缀为或的 Amazon EC2 实例使用 SSM API。`ams` `mc` |
| AWS 标记 | 您只能访问前缀为的 AWS 标记 API 操作。`Get` |
| AWS Lake Formation | 以下 AWS Lake Formation API 操作被拒绝: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/developer-mode-change-management.html) |
| Amazon Elastic Inference | 您只能调用 Elastic Inference API 操作。`elastic-inference:Connect`此权限包含在`customer_sagemaker_admin_policy`所附的权限中`customer_sagemaker_admin_role`。此操作允许您访问 Elastic Inference 加速器。 |
| AWS Shield | 无法访问任何此服务 APIs 或控制台。 |
| Amazon Simple Workflow Service | 无法访问任何此服务 APIs 或控制台。 |
# 在 AMS 开发者模式下配置基础架构
在启用开发者模式的账户中`AWSManagedServicesDevelopmentRole`,没有开发者模式 IAM 角色的用户必须遵循利用 AMS Advanced 的 AMS 高级变更管理流程。 AMIs角色正确(**MALZ: `AWSManagedServicesDevelopmentRole`、**SALZ****:`customer_developer_role`)的用户可以使用 AMS Advanced 变更管理系统和 AMS Advanced, AMIs 但不是必需的。
**注意**
未通过 AWS AMS 高级工作负载摄取处理或在 AMS 高级账户中创建的 AMI 将不包含 AMS Advanced 所需的配置。
# AMS 开发者模式下的 Detective 控件
此部分已被删除,因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台**文档**获得。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。
# 在 AMS 开发者模式下记录、监控和事件管理
对于在 AMS Advanced 变更管理流程之外配置的资源,或者通过变更管理配置然后由使用开发者模式权限的账户更改的资源,不可使用记录、监控和事件管理。
# AMS 开发者模式下的事件管理
事件响应时间没有变化。对于在变更管理流程之外配置的资源,或者通过变更管理配置的资源,然后由使用开发者模式权限的账户进行更改,应尽力解决事件。
**注意**
AMS 服务等级协议 (SLA) 不适用于在 AMS 变更管理系统之外创建或更新的资源(包括更改请求或 RFCs),包括开发人员模式;因此,在开发者模式下更新或创建的资源会自动降级为 P3,AMS 支持是尽力而为。
# AMS 开发者模式下的补丁管理
补丁管理不适用于在 AMS Advanced 变更管理流程之外置备的资源,也不可用于通过变更管理配置然后由使用开发者模式权限的账户更改的资源。修补时间:
+ 对于重要的安全更新:供应商发布通过变更管理配置然后由使用开发者模式权限的账户更改的资源后 10 个工作日内。
+ 重要更新:供应商发布通过变更管理配置的资源,然后由使用开发者模式权限的账户进行更改的资源后 2 个月内。
# AMS 开发人员模式下的连续性管理
连续性管理不适用于在 AMS Advanced 变更管理流程之外配置的资源,也不可用于通过变更管理配置然后由使用开发者模式权限的账户更改的资源。
对于在 AMS Advanced 变更管理流程之外配置的资源,或者对于通过变更管理配置然后由使用开发者模式权限的账户更改的资源,环境恢复启动时间可能长达 12 小时。
# AMS 开发者模式下的安全和访问管理
防恶意软件保护是指您对在 AMS Advanced 变更管理流程之外配置的资源,或者对通过变更管理配置然后由使用开发者模式权限的账户更改的资源的责任。对未通过 AMS 高级变更管理配置的亚马逊弹性计算云 (Amazon EC2) 实例的访问可能由密钥对控制,而不是提供联合访问权限。