本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AMS 進階開發人員模式
**Topics**
+ [AMS 進階開發人員模式入門](developer-mode-implement.md)
+ [開發人員模式中的安全性和合規性](developer-mode-security-and-compliance.md)
+ [在開發人員模式下變更管理](developer-mode-change-management.md)
+ [在 AMS 開發人員模式下佈建基礎設施](developer-mode-provisioning.md)
+ [AMS 開發人員模式下的偵測控制](developer-mode-detective-controls.md)
+ [在 AMS 開發人員模式下記錄、監控和事件管理](developer-mode-logging.md)
+ [AMS 開發人員模式下的事件管理](developer-mode-incident-management.md)
+ [AMS 開發人員模式下的修補程式管理](developer-mode-patch-management.md)
+ [AMS 開發人員模式下的持續性管理](developer-mode-continuity.md)
+ [AMS 開發人員模式下的安全性和存取管理](developer-mode-security-and-access.md)
AWS Managed Services (AMS) 開發人員模式使用 AMS Advanced Plus 和 Premium 帳戶中的更高許可,在 AMS Advanced 變更管理程序之外佈建和更新 AWS 資源。AMS Advanced Developer 模式透過在 AMS Advanced Virtual Private Cloud (VPC) 中利用原生 AWS API 呼叫來執行此操作,讓您能夠在受管環境中設計和實作基礎設施和應用程式。
使用已啟用開發人員模式的帳戶時,系統會為透過 AMS 進階變更管理程序或使用 AMS Amazon Machine Image (AMI) 佈建的資源提供持續性管理、修補程式管理和變更管理。不過,這些 AMS 管理功能不適用於透過 AWS APIs 佈建的資源。
您有責任監控在 AMS 進階變更管理程序之外佈建的基礎設施資源。開發人員模式與生產和非生產工作負載相容。透過提高的許可,您更有責任確保遵守內部控制。
**重要**
您使用開發人員模式建立的資源只有在使用 AMS 進階變更管理程序建立時,才能由 AMS Advanced 管理。
開發人員模式是您可以採用的 AMS 進階模式之一。如需詳細資訊,請參閱[模式概觀](ams-modes-ug.md)。
# AMS 進階開發人員模式入門
了解具有 AMS 進階開發人員模式的各種 AMS 進階帳戶,以及如何成功實作開發人員模式。
**Topics**
+ [開始之前](developer-mode-faqs.md)
+ [開發人員模式的先決條件](#developer-mode-implement-prerequisites)
+ [如何實作開發人員模式](#developer-mode-implement-steps)
+ [開發人員模式許可](#developer-mode-role)
# 開始使用 AMS 開發人員模式之前
在實作開發人員模式之前,您應該知道幾件事。
AMS Advanced 無法管理 DevMode 帳戶中透過變更請求 (RFCs) 在 AMS Advanced 變更管理程序之外建立的現有堆疊或資源。不過,當帳戶位於 DevMode 時,AMS Advanced 會繼續使用 RFCs 管理透過 AMS Advanced 變更管理程序佈建的資源。
您無法從 DevMode 帳戶開始,之後再將其隱藏到 AMS 進階受管應用程式帳戶。
## AMS 開發人員模式的先決條件
以下是實作開發人員模式的先決條件:
+ 您必須是至少擁有一個已加入 AMS Advanced Plus 或 Premium 帳戶的 AMS Advanced 客戶。
+ 您使用的任何帳戶都必須是 AMS Advanced Plus 或 Premium 帳戶。
+ **多帳戶登陸區域 (MALZ)**:您必須使用`AWSManagedServicesDevelopmentRole`預先定義的 AWS Identity and Access Management (IAM) 角色。您請求此角色。下一節說明如何取得開發人員模式許可。
+ **單一帳戶登陸區域 (SALZ)**:您必須使用`customer_developer_role`預先定義的 AWS Identity and Access Management (IAM) 角色。您請求此角色。下一節說明如何取得開發人員模式許可。
## 如何實作 AMS 進階開發人員模式
您可以請求使用預先定義的 IAM 角色佈建符合資格的 AMS Advanced 帳戶,以實作開發人員模式:
+ **MALZ**: `AWSManagedServicesDevelopmentRole`
+ **SALZ**: `customer_developer_role`
然後,您將角色指派給聯合網路中的相關使用者。
AMS Advanced 建議您確保使用開發人員模式符合您的內部控制架構和標準,因為開發人員模式會建立兩種變更向量:適用於 AMS 進階受管資源的 AMS 進階變更管理,以及適用於您身為客戶所管理資源的客戶受管角色聯合。雖然 AMS Advanced 程序仍符合我們的宣告,但客戶程序和控制架構可能需要更新。
**在 AMS Advanced 帳戶中實作開發人員模式**
1. 確認您要搭配開發人員模式使用的 帳戶符合 中列出的要求[AMS 開發人員模式的先決條件](#developer-mode-implement-prerequisites)。
1. 使用變更類型 (CT) 管理 \$1 受管帳戶 \$1 開發人員模式 \$1 啟用 (受管自動化) 提交變更請求 (RFC)。如需如何使用此 CT 的範例,請參閱[開發人員模式 \$1 啟用 (受管自動化)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-developer-mode-enable-review-required.html)。
處理 CT 之後,會在請求的帳戶中佈建預先定義的 IAM 角色 (`AWSManagedServicesDevelopmentRole`**MALZ** 為 ,**SALZ** `customer_developer_role`為 )。
1. 使用內部聯合程序,將適當的角色指派給需要開發人員模式存取的使用者。
AMS Advanced 建議您限制存取,以防止不需要或未核准的資源佈建或變更。
## AMS 進階開發人員模式許可
預先定義的 角色 (`AWSManagedServicesDevelopmentRole`適用於 **MALZ**、`customer_developer_role`適用於 **SALZ**) 會授予許可,以在 AMS Advanced VPC 內建立應用程式基礎設施資源,包括 IAM 角色,同時限制存取由 AMS Advanced 操作的*共用服務*元件 (例如,管理主機、網域控制站、Trend Micro EPS、堡壘和不支援的 AWS 服務)。此角色也會限制對下列項目的存取 AWS 服務:Amazon GuardDuty AWS Organizations、 AWS Directory Service APIs 和 AMS Advanced 日誌。
雖然角色允許您建立其他 IAM 角色,但開發人員模式存取中包含的相同許可界限會在 建立的任何 IAM 角色上強制執行`AWSManagedServicesDevelopmentRole`。
# 開發人員模式中的安全性和合規性
安全與合規是 AMS Advanced 與身為客戶的您共同的責任。AMS Advanced Developer 模式會將變更管理程序外佈建或透過變更管理佈建,但使用開發人員模式許可更新之資源的共同責任轉移給您。如需共同責任的詳細資訊,請參閱 [AWS Managed Services](https://aws.amazon.com/managed-services/)。
**注意:**
+ DevMode 可讓您和您的授權團隊略過 AMS 安全性核心的deny-by-default原則。優點、自助服務、較少等待 AMS 的時間必須權衡缺點,任何人都可以在不了解其安全團隊的情況下執行非預期且破壞性的動作。用於啟用開發模式和直接變更模式的自動變更類型會公開,且組織中任何獲授權的人員都可以執行這些 CTs 並啟用這些模式。
+ 您負責從使用者基礎管理 CT 執行的許可。
+ AMS 不會管理 CT 執行許可
**建議:**
+ **保護**
+ 客戶可以透過許可防止存取此 CT,請參閱[使用 IAM 角色政策陳述式限制許可](https://docs.aws.amazon.com/managedservices/latest/userguide/request-iam-user.html)
+ 透過實作 ITSM 系統等代理來防止存取此 CT
+ 使用可視需要防止政策和行為的服務控制政策 (SCPs),請參閱 [AMS Preventative and Detective Controls Library](https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html)
+ **偵測**
+ 監控 RFC 的這些 CTs (啟用開發人員模式 ct-1opjmhuddw194 和直接變更模式、啟用 ct-3rd4781c2nnhp) 是否正在執行並相應地回應
+ 檢閱和/或稽核您的帳戶是否存在 IAM 資源,以識別已部署開發人員模式或直接變更模式的帳戶
+ **回應**
+ 視需要在開發人員模式中移除帳戶
## 開發人員模式中的安全性
AMS Advanced 提供具有規範登陸區域、變更管理系統和存取管理的額外值。使用開發人員模式時,會使用建立基準 AMS Advanced 安全性強化網路的標準 AMS Advanced 帳戶之相同帳戶組態,來保留 AMS Advanced 的安全值。網路受到角色中強制執行的許可界限 (`AWSManagedServicesDevelopmentRole`適用於 **MALZ**,`customer_developer_role`適用於 **SALZ**) 的保護,這會限制使用者分解帳戶設定時建立的參數保護。
例如,具有 角色的使用者可以存取 Amazon Route 53,但 AMS Advanced 內部託管區域受到限制。相同的許可界限會在 建立的 IAM 角色上強制執行`AWSManagedServicesDevelopmentRole`,在 上強制執行許可界限`AWSManagedServicesDevelopmentRole`,以限制使用者細分帳戶加入 AMS Advanced 時建立的參數保護。
## 開發人員模式中的合規
開發人員模式與生產和非生產工作負載相容。您有責任確保遵守任何合規標準 (例如 PHI、HIPAA、PCI),並確保使用開發人員模式符合您的內部控制架構和標準。
# 在開發人員模式下變更管理
變更管理是 AMS Advanced 服務用來實作變更請求的程序。變更請求 (RFC) 是由您或 AMS Advanced 透過 AMS Advanced 界面建立的請求,用於對受管環境進行變更,並包含特定操作的變更類型 (CT) ID。如需詳細資訊,請參閱[變更管理模式](using-change-management.md)。
在授予開發人員模式許可的 AMS Advanced 帳戶中,不會強制執行變更管理。已使用 IAM 角色 (`AWSManagedServicesDevelopmentRole`適用於 **MALZ**、`customer_developer_role`適用於 **SALZ**) 授予開發人員模式許可的使用者,可以使用原生 AWS API 存取來佈建和變更其 AMS Advanced 帳戶中的資源。在這些帳戶中沒有適當角色的使用者,必須使用 AMS 進階變更管理程序進行變更。
**重要**
您使用開發人員模式建立的資源,只有在使用 AMS 進階變更管理程序建立時,才能由 AMS Advanced 管理。AMS Advanced 會拒絕針對在 AMS Advanced 變更管理程序之外建立的資源提交至 AMS Advanced 的變更請求,因為這些變更必須由您處理。
## 自助式佈建服務 API 限制
開發人員模式支援所有 AMS Advanced 自行佈建服務。對自行佈建服務的存取受個別使用者指南章節中概述的限制約束。如果您的開發人員模式角色無法使用自助佈建服務,您可以透過開發人員模式變更類型請求更新的角色。
下列服務不提供服務 APIs的完整存取權:
**開發人員模式中限制的自助佈建服務**
| 服務 | 備註 |
| --- | --- |
| Amazon API Gateway | 允許所有閘道 APIs呼叫,但 除外`SetWebACL`。 |
| Application Auto Scaling | 只能註冊或取消註冊可擴展的目標,並放置或刪除擴展政策。 |
| AWS CloudFormation | 無法存取或修改名稱字首為 的 CloudFormation 堆疊`mc-`。 |
| AWS CloudTrail | 無法存取或修改名稱字首為 `ams-`和/或 的 CloudTrail 資源`mc-`。 |
| Amazon Cognito (使用者集區) | 無法關聯軟體字符。 無法建立使用者集區、使用者匯入任務、資源伺服器或身分提供者。 |
| AWS Directory Service | `Connect` 和 `WorkSpaces`服務只需要下列 Directory Service 動作。開發人員模式許可界限政策會拒絕所有其他 Directory Service 動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/developer-mode-change-management.html) 在單一帳戶登陸區域帳戶中,邊界政策明確拒絕存取 AMS Advanced 使用的 AMS Advanced 受管目錄,以維護對已啟用開發模式之帳戶的存取。 |
| Amazon Elastic Compute Cloud | 無法存取包含字串的 Amazon EC2 APIs:`DhcpOptions`、`Gateway`、`Subnet`、 `VPC`和 `VPN`。 無法存取或修改標籤字首為 `AMS`、`ManagementHostASG`、 `mc`和/或 的 Amazon EC2 資源`sentinel`。 |
| Amazon EC2 (報告) | 僅授予檢視存取權 (無法修改)。注意:Amazon EC2 報告正在移動。**報告**選單項目將從 Amazon EC2 主控台導覽選單中移除。若要在移除之後檢視 Amazon EC2 用量報告,請使用 AWS Billing 和 Cost Management 主控台。 |
| AWS Identity and Access Management (IAM) | 無法刪除現有的許可界限,或修改 IAM 使用者密碼政策。 除非您使用正確的 IAM 角色 (`AWSManagedServicesDevelopmentRole`適用於 **MALZ**、`customer_developer_role`適用於 **SALZ**)),否則無法建立或修改 IAM 資源。 無法修改字首為:`ams`、`customer_deny_policy`、 `mc`和/或 的 IAM 資源`sentinel`。 建立新的 IAM 資源 (角色、使用者或群組) 時,必須連接許可界限 (**MALZ**:`AWSManagedServicesDevelopmentRolePermissionsBoundary`、**SALZ**:`ams-app-infra-permissions-boundary`)。 |
| AWS Key Management Service (AWS KMS) | 無法存取或修改 AMS 進階受管 KMS 金鑰。 |
| AWS Lambda | 無法存取或修改字首為 的 AWS Lambda 函數`AMS`。 |
| CloudWatch Logs | 無法存取名稱字首為 `mc`、、 `aws``lambda`和/或 的 CloudWatch 日誌串流`AMS`。 |
| Amazon Relational Database Service (Amazon RDS) | 無法存取或修改名稱字首為 的 Amazon Relational Database Service (Amazon RDS) 資料庫 (DBs):`mc-`。 |
| AWS Resource Groups | 只能存取 `Get`、 `List`和 `Search` 資源群組 API 動作。 |
| Amazon Route 53 | 無法存取或修改 Route53 AMS 進階維護的資源。 |
| Amazon S3 | 無法存取名稱字首為:`ams-*`、`ms-a`、 `ams`或 的 Amazon S3 儲存貯體`mc-a`。 |
| AWS Security Token Service | 唯一允許的安全性字符服務 API 是 `DecodeAuthorizationMessage`。 |
| Amazon SNS | 無法存取名稱字首為:`AMS-`、 `Energon-Topic`或 的 SNS 主題`MMS-Topic`。 |
| AWS Systems Manager 管理員 (SSM) | 無法修改字首為 `ams`、 `mc`或 的 SSM 參數`svc`。 無法`SendCommand`針對標籤字首為 `ams`或 的 Amazon EC2 執行個體使用 SSM API`mc`。 |
| AWS 標記 | 您只能存取字首為 的 AWS 標記 API 動作`Get`。 |
| AWS Lake Formation | 下列 AWS Lake Formation API 動作遭拒: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/developer-mode-change-management.html) |
| Amazon Elastic Inference | 您只能呼叫 Elastic Inference API 動作 `elastic-inference:Connect`。此許可包含在連接到 `customer_sagemaker_admin_policy` 的 中`customer_sagemaker_admin_role`。此動作可讓您存取 Elastic Inference 加速器。 |
| AWS Shield | 無法存取任何此服務 APIs或主控台。 |
| Amazon Simple Workflow Service | 無法存取任何此服務 APIs或主控台。 |
# 在 AMS 開發人員模式下佈建基礎設施
沒有開發人員模式 IAM 角色的使用者`AWSManagedServicesDevelopmentRole`,在已啟用開發人員模式的帳戶中,必須遵循利用 AMS 進階 AMIs 的 AMS 進階變更管理程序。具有正確角色 (**MALZ**:`AWSManagedServicesDevelopmentRole`、**SALZ**:`customer_developer_role`) 的使用者可以使用 AMS 進階變更管理系統和 AMS 進階 AMIs但不需要。
**注意**
尚未透過 AMS 進階工作負載擷取處理,或在 AWS AMS 進階帳戶中建立的 AMI,將不會包含 AMS 進階所需組態。
# AMS 開發人員模式下的偵測控制
本節已修訂,因為它包含敏感的 AMS 安全相關資訊。此資訊可透過 AMS 主控台**文件**取得。若要存取 AWS Artifact,您可以聯絡 CSDM 以取得指示,或前往 [AWS Artifact 入門](https://aws.amazon.com/artifact/getting-started)。
# 在 AMS 開發人員模式下記錄、監控和事件管理
記錄、監控和事件管理不適用於在 AMS 進階變更管理程序之外佈建的資源,也不適用於透過變更管理佈建,然後使用開發人員模式許可由帳戶修改的資源。
# AMS 開發人員模式下的事件管理
事件回應時間沒有變更。對於在變更管理程序之外佈建的資源,或是透過變更管理佈建,然後使用開發人員模式許可由帳戶修改的資源,事件解決是最大的努力。
**注意**
AMS 服務水準協議 (SLA) 不適用於在 AMS 變更管理系統 (變更請求或 RFCs) 之外建立或更新的資源,包含開發人員模式;因此,在開發人員模式中更新或建立的資源會自動降級為 P3,AMS 支援會盡最大努力。
# AMS 開發人員模式下的修補程式管理
修補程式管理不適用於在 AMS 進階變更管理程序之外佈建的資源,或透過變更管理佈建的資源,然後使用開發人員模式許可由帳戶修改。修補時間:
+ 對於重大安全性更新:在廠商發佈後 10 個工作天內,透過變更管理佈建的資源,然後由使用開發人員模式許可的帳戶進行變更。
+ 重要更新:在廠商發佈後 2 個月內,透過變更管理佈建的資源,然後由使用開發人員模式許可的帳戶更改。
# AMS 開發人員模式下的持續性管理
持續性管理不適用於在 AMS 進階變更管理程序之外佈建的資源,或透過變更管理佈建,然後使用開發人員模式許可由 帳戶修改的資源。
對於在 AMS 進階變更管理程序之外佈建的資源,或透過變更管理佈建,然後使用開發人員模式許可由帳戶修改的資源,環境復原啟動時間最多可能需要 12 小時。
# AMS 開發人員模式下的安全性和存取管理
對於在 AMS 進階變更管理程序之外佈建的資源,或是透過變更管理佈建,然後使用開發人員模式許可由帳戶修改的資源,反惡意軟體保護是您的責任。未透過 AMS Advanced 變更管理佈建的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的存取權可能由金鑰對控制,而不是提供聯合存取。