本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 开发者模式下的安全性与合规性
<a name="developer-mode-security-and-compliance"></a>

安全与合规是 AMS Advanced 和您作为我们的客户的共同责任。AMS Advanced Developer 模式将您在变更管理流程之外配置的资源或通过变更管理配置但使用开发者模式权限更新的资源的共同责任转移给您。有关分担责任的更多信息，请参阅 [AWS Managed Services](https://aws.amazon.com/managed-services/)。

**注意事项：**
+ DevMode 允许您和您的授权团队绕过 AMS 安全的核心 deny-by-default原则。必须权衡自助服务、减少等待 AMS 的优点和缺点，任何人都可以在安全团队不知情的情况下执行意想不到的破坏性操作。用于启用开发模式和直接更改模式的自动更改类型已公开，您组织中的任何授权人员都可以运行这些类型 CTs 并启用这些模式。
+ 您负责从您的用户群中管理 CT 执行权限。
+ AMS 不管理 CT 执行权限

**建议**
+ **保护**
  + 客户可以通过权限阻止访问此 CT，请参阅[使用 IAM 角色策略声明限制权限](https://docs.aws.amazon.com/managedservices/latest/userguide/request-iam-user.html)
  + 通过实施代理（例如 ITSM 系统）来阻止对此 CT 的访问
  + 利用服务控制策略 (SCPs)，根据需要阻止策略和行为，请参阅 [AMS Preventical 和 Detective Control](https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html) s 库
+ **检测**
  + 监视你的 RFC 是否正在执行这些内容 CTs （启用开发者模式 ct-1opjmhuddw194 和直接更改模式，启用 ct-3rd4781c2nnhp）并做出相应的响应
  + 查看 and/or 您的账户是否存在 IAM 资源，以确定部署了开发者模式或直接变更模式的账户
+ **回应**
  + 根据需要在开发者模式下移除账户

## 开发者模式下的安全性
<a name="developer-mode-security"></a>

AMS Advanced 通过规范性的着陆区、变更管理系统和访问管理提供了额外的价值。使用开发者模式时，AMS Advanced 的安全值通过使用与标准 AMS Advanced 账户相同的账户配置来保持 AMS Advanced 的安全值，该账户配置与 AMS Advanced 的基准安全强化网络相同。网络受角色中强制执行的权限边界的保护（`AWSManagedServicesDevelopmentRole`对于 **MALZ**，`customer_developer_role`对于 **SALZ**），这限制了用户破坏在设置账户时建立的参数保护。

例如，具有该角色的用户可以访问 Amazon Route 53，但是 AMS 高级内部托管区域受到限制。对创建的 IAM 角色强制执行相同的权限边界`AWSManagedServicesDevelopmentRole`，从而限制用户破坏账户加入 AMS Advanced 时建立的参数保护。`AWSManagedServicesDevelopmentRole`

## 开发者模式下的合规性
<a name="developer-mode-compliance"></a>

开发者模式与生产和非生产工作负载兼容。您有责任确保遵守任何合规标准（例如 PHI、HIPAA、PCI），并确保开发人员模式的使用符合您的内部控制框架和标准。