本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AMS 高级开发者模式入门
了解使用 AMS 高级开发者模式的各种 AMS 高级账户以及如何成功实现开发者模式。
AMS 开发者模式的先决条件
以下是实现开发者模式的先决条件:
您必须是 AMS Advanced 客户,并且至少有一个已注册的 AMS Advanced Plus 或高级账户。
您使用的任何账户都必须是 AMS Advanced Plus 或高级账户。
多账户登录区 (MALZ):您必须使用
AWSManagedServicesDevelopmentRole预定义的 AWS Identity and Access Management (IAM) 角色。你申请这个角色。下一节介绍如何获取开发者模式权限。单账户登录区 (SALZ):您必须使用
customer_developer_role预定义的 AWS Identity and Access Management (IAM) 角色。你申请这个角色。下一节介绍如何获取开发者模式权限。
如何实现 AMS 高级开发者模式
您可以通过请求为符合条件的 AMS Advanced 账户配置预定义的 IAM 角色来实现开发者模式:
MALZ:
AWSManagedServicesDevelopmentRoleSALZ:
customer_developer_role
然后,您将该角色分配给联合网络中的相关用户。
AMS Advanced 建议您确保开发者模式的使用符合您的内部控制框架和标准,因为开发者模式会带来两个变革向量:AMS Advanced 管理的资源的 AMS Advanced 变更管理以及针对您(作为我们的客户)管理的资源的客户管理角色联合。虽然 AMS Advanced 流程仍然符合我们的声明,但可能需要更新客户流程和控制框架。
在您的 AMS 高级账户中实现开发者模式
确认您要在开发者模式下使用的账户符合中列出的要求AMS 开发者模式的先决条件。
使用变更类型 (CT) 管理 | 托管账户 | 开发者模式 | 启用(需要审核)提交变更申请 (RFC)。有关如何使用此 CT 的示例,请参阅开发者模式 | 启用(需要审阅)。
处理 CT 后,将在请求的账户中配置预定义的 IAM 角色(
AWSManagedServicesDevelopmentRole对customer_developer_role于 M ALZ,对于 SALZ)。使用您的内部联合流程为需要开发者模式访问权限的用户分配相应的角色。
AMS Advanced 建议您限制访问权限,以防止不必要或未经批准地配置或更改资源。
AMS 高级开发者模式权限
预定义角色(适用AWSManagedServicesDevelopmentRole于 MALZ,customer_developer_role对于 SALZ)授予在 AMS 高级 VPC 中创建应用程序基础设施资源的权限,包括 IAM 角色,同时限制访问由 AMS Advanced 运营的共享服务组件(例如,管理主机、域控制器、趋势科技 EPS、堡垒和不支持的 AWS 服务)。该角色还限制对以下内容的访问 AWS 服务:Amazon GuardDuty、 AWS Organizations AWS Directory Service APIs、和 AMS 高级日志。
虽然该角色允许您创建其他 IAM 角色,但开发人员模式访问权限中包含的相同权限限制也适用于由创建的任何 IAM 角色AWSManagedServicesDevelopmentRole。
