本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在開發人員模式下變更管理
變更管理是 AMS Advanced 服務用來實作變更請求的程序。變更請求 (RFC) 是由您或 AMS Advanced 透過 AMS Advanced 界面建立的請求,用於對受管環境進行變更,並包含特定操作的變更類型 (CT) ID。如需詳細資訊,請參閱[變更管理模式](using-change-management.md)。
在授予開發人員模式許可的 AMS Advanced 帳戶中,不會強制執行變更管理。已使用 IAM 角色 (`AWSManagedServicesDevelopmentRole`適用於 **MALZ**、`customer_developer_role`適用於 **SALZ**) 授予開發人員模式許可的使用者,可以使用原生 AWS API 存取來佈建和變更其 AMS Advanced 帳戶中的資源。在這些帳戶中沒有適當角色的使用者,必須使用 AMS 進階變更管理程序進行變更。
**重要**
您使用開發人員模式建立的資源,只有在使用 AMS 進階變更管理程序建立時,才能由 AMS Advanced 管理。AMS Advanced 會拒絕針對在 AMS Advanced 變更管理程序之外建立的資源提交至 AMS Advanced 的變更請求,因為這些變更必須由您處理。
## 自助式佈建服務 API 限制
開發人員模式支援所有 AMS Advanced 自行佈建服務。對自行佈建服務的存取受個別使用者指南章節中概述的限制約束。如果您的開發人員模式角色無法使用自助佈建服務,您可以透過開發人員模式變更類型請求更新的角色。
下列服務不提供服務 APIs的完整存取權:
**開發人員模式中限制的自助佈建服務**
| 服務 | 備註 |
| --- | --- |
| Amazon API Gateway | 允許所有閘道 APIs呼叫,但 除外`SetWebACL`。 |
| Application Auto Scaling | 只能註冊或取消註冊可擴展的目標,並放置或刪除擴展政策。 |
| AWS CloudFormation | 無法存取或修改名稱字首為 的 CloudFormation 堆疊`mc-`。 |
| AWS CloudTrail | 無法存取或修改名稱字首為 `ams-`和/或 的 CloudTrail 資源`mc-`。 |
| Amazon Cognito (使用者集區) | 無法關聯軟體字符。 無法建立使用者集區、使用者匯入任務、資源伺服器或身分提供者。 |
| AWS Directory Service | `Connect` 和 `WorkSpaces`服務只需要下列 Directory Service 動作。開發人員模式許可界限政策會拒絕所有其他 Directory Service 動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/developer-mode-change-management.html) 在單一帳戶登陸區域帳戶中,邊界政策明確拒絕存取 AMS Advanced 使用的 AMS Advanced 受管目錄,以維護對已啟用開發模式之帳戶的存取。 |
| Amazon Elastic Compute Cloud | 無法存取包含字串的 Amazon EC2 APIs:`DhcpOptions`、`Gateway`、`Subnet`、 `VPC`和 `VPN`。 無法存取或修改標籤字首為 `AMS`、`ManagementHostASG`、 `mc`和/或 的 Amazon EC2 資源`sentinel`。 |
| Amazon EC2 (報告) | 僅授予檢視存取權 (無法修改)。注意:Amazon EC2 報告正在移動。**報告**選單項目將從 Amazon EC2 主控台導覽選單中移除。若要在移除之後檢視 Amazon EC2 用量報告,請使用 AWS Billing 和 Cost Management 主控台。 |
| AWS Identity and Access Management (IAM) | 無法刪除現有的許可界限,或修改 IAM 使用者密碼政策。 除非您使用正確的 IAM 角色 (`AWSManagedServicesDevelopmentRole`適用於 **MALZ**、`customer_developer_role`適用於 **SALZ**)),否則無法建立或修改 IAM 資源。 無法修改字首為:`ams`、`customer_deny_policy`、 `mc`和/或 的 IAM 資源`sentinel`。 建立新的 IAM 資源 (角色、使用者或群組) 時,必須連接許可界限 (**MALZ**:`AWSManagedServicesDevelopmentRolePermissionsBoundary`、**SALZ**:`ams-app-infra-permissions-boundary`)。 |
| AWS Key Management Service (AWS KMS) | 無法存取或修改 AMS 進階受管 KMS 金鑰。 |
| AWS Lambda | 無法存取或修改字首為 的 AWS Lambda 函數`AMS`。 |
| CloudWatch Logs | 無法存取名稱字首為 `mc`、、 `aws``lambda`和/或 的 CloudWatch 日誌串流`AMS`。 |
| Amazon Relational Database Service (Amazon RDS) | 無法存取或修改名稱字首為 的 Amazon Relational Database Service (Amazon RDS) 資料庫 (DBs):`mc-`。 |
| AWS Resource Groups | 只能存取 `Get`、 `List`和 `Search` 資源群組 API 動作。 |
| Amazon Route 53 | 無法存取或修改 Route53 AMS 進階維護的資源。 |
| Amazon S3 | 無法存取名稱字首為:`ams-*`、`ms-a`、 `ams`或 的 Amazon S3 儲存貯體`mc-a`。 |
| AWS Security Token Service | 唯一允許的安全性字符服務 API 是 `DecodeAuthorizationMessage`。 |
| Amazon SNS | 無法存取名稱字首為:`AMS-`、 `Energon-Topic`或 的 SNS 主題`MMS-Topic`。 |
| AWS Systems Manager 管理員 (SSM) | 無法修改字首為 `ams`、 `mc`或 的 SSM 參數`svc`。 無法`SendCommand`針對標籤字首為 `ams`或 的 Amazon EC2 執行個體使用 SSM API`mc`。 |
| AWS 標記 | 您只能存取字首為 的 AWS 標記 API 動作`Get`。 |
| AWS Lake Formation | 下列 AWS Lake Formation API 動作遭拒: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/developer-mode-change-management.html) |
| Amazon Elastic Inference | 您只能呼叫 Elastic Inference API 動作 `elastic-inference:Connect`。此許可包含在連接到 `customer_sagemaker_admin_policy` 的 中`customer_sagemaker_admin_role`。此動作可讓您存取 Elastic Inference 加速器。 |
| AWS Shield | 無法存取任何此服務 APIs或主控台。 |
| Amazon Simple Workflow Service | 無法存取任何此服務 APIs或主控台。 |