在開發人員模式下變更管理 - AMS 進階使用者指南
SSPS 限制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在開發人員模式下變更管理

變更管理是 AMS Advanced 服務用來實作變更請求的程序。變更請求 (RFC) 是由您或 AMS Advanced 透過 AMS Advanced 界面建立的請求,用於對受管環境進行變更,並包含特定操作的變更類型 (CT) ID。如需詳細資訊,請參閱變更管理模式

在授予開發人員模式許可的 AMS Advanced 帳戶中,不會強制執行變更管理。已使用 IAM 角色 (AWSManagedServicesDevelopmentRole適用於 MALZcustomer_developer_role適用於 SALZ) 授予開發人員模式許可的使用者,可以使用原生 AWS API 存取來佈建和變更其 AMS Advanced 帳戶中的資源。在這些帳戶中沒有適當角色的使用者,必須使用 AMS 進階變更管理程序進行變更。

重要

您使用開發人員模式建立的資源,只有在使用 AMS 進階變更管理程序建立時,才能由 AMS Advanced 管理。AMS Advanced 會拒絕針對在 AMS Advanced 變更管理程序之外建立的資源提交至 AMS Advanced 的變更請求,因為這些變更必須由您處理。

自助式佈建服務 API 限制

開發人員模式支援所有 AMS Advanced 自行佈建服務。對自行佈建服務的存取受個別使用者指南章節中概述的限制約束。如果您的開發人員模式角色無法使用自助佈建服務,您可以透過開發人員模式變更類型請求更新的角色。

下列服務不提供服務 APIs的完整存取權:

開發人員模式中限制的自助佈建服務
服務 備註

Amazon API Gateway

允許所有閘道 APIs呼叫,但 除外SetWebACL

Application Auto Scaling

只能註冊或取消註冊可擴展的目標,並放置或刪除擴展政策。

AWS CloudFormation

無法存取或修改名稱字首為 的 CloudFormation 堆疊mc-

AWS CloudTrail

無法存取或修改名稱字首為 ams-和/或 的 CloudTrail 資源mc-

Amazon Cognito (使用者集區)

無法關聯軟體字符。

無法建立使用者集區、使用者匯入任務、資源伺服器或身分提供者。

AWS Directory Service

ConnectWorkSpaces服務只需要下列 Directory Service 動作。開發人員模式許可界限政策會拒絕所有其他 Directory Service 動作:

  • ds:AuthorizeApplication

  • ds:CreateAlias

  • ds:CreateIdentityPoolDirectory

  • ds:DeleteDirectory

  • ds:DescribeDirectories

  • ds:GetAuthorizedApplicationDetails

  • ds:ListAuthorizedApplications

  • ds:UnauthorizeApplication

在單一帳戶登陸區域帳戶中,邊界政策明確拒絕存取 AMS Advanced 使用的 AMS Advanced 受管目錄,以維護對已啟用開發模式之帳戶的存取。

Amazon Elastic Compute Cloud

無法存取包含字串的 Amazon EC2 APIs:DhcpOptionsGatewaySubnetVPCVPN

無法存取或修改標籤字首為 AMSManagementHostASGmc和/或 的 Amazon EC2 資源sentinel

Amazon EC2 (報告)

僅授予檢視存取權 (無法修改)。注意:Amazon EC2 報告正在移動。報告選單項目將從 Amazon EC2 主控台導覽選單中移除。若要在移除之後檢視 Amazon EC2 用量報告,請使用 AWS Billing 和 Cost Management 主控台。

AWS Identity and Access Management (IAM)

無法刪除現有的許可界限,或修改 IAM 使用者密碼政策。

除非您使用正確的 IAM 角色 (AWSManagedServicesDevelopmentRole適用於 MALZcustomer_developer_role適用於 SALZ)),否則無法建立或修改 IAM 資源。

無法修改字首為:amscustomer_deny_policymc和/或 的 IAM 資源sentinel

建立新的 IAM 資源 (角色、使用者或群組) 時,必須連接許可界限 (MALZAWSManagedServicesDevelopmentRolePermissionsBoundarySALZams-app-infra-permissions-boundary)。

AWS Key Management Service (AWS KMS)

無法存取或修改 AMS 進階受管 KMS 金鑰。

AWS Lambda

無法存取或修改字首為 的 AWS Lambda 函數AMS

CloudWatch Logs

無法存取名稱字首為 mc、、 awslambda和/或 的 CloudWatch 日誌串流AMS

Amazon Relational Database Service (Amazon RDS)

無法存取或修改名稱字首為 的 Amazon Relational Database Service (Amazon RDS) 資料庫 (DBs):mc-

AWS Resource Groups

只能存取 GetListSearch 資源群組 API 動作。

Amazon Route 53

無法存取或修改 Route53 AMS 進階維護的資源。

Amazon S3

無法存取名稱字首為:ams-*ms-aams或 的 Amazon S3 儲存貯體mc-a

AWS Security Token Service

唯一允許的安全性字符服務 API 是 DecodeAuthorizationMessage

Amazon SNS

無法存取名稱字首為:AMS-Energon-Topic或 的 SNS 主題MMS-Topic

AWS Systems Manager 管理員 (SSM)

無法修改字首為 amsmc或 的 SSM 參數svc

無法SendCommand針對標籤字首為 ams或 的 Amazon EC2 執行個體使用 SSM APImc

AWS 標記

您只能存取字首為 的 AWS 標記 API 動作Get

AWS Lake Formation

下列 AWS Lake Formation API 動作遭拒:

  • lakeformation:DescribeResource

  • lakeformation:GetDataLakeSettings

  • lakeformation:DeregisterResource

  • lakeformation:RegisterResource

  • lakeformation:UpdateResource

  • lakeformation:PutDataLakeSettings

Amazon Elastic Inference

您只能呼叫 Elastic Inference API 動作 elastic-inference:Connect。此許可包含在連接到 customer_sagemaker_admin_policy 的 中customer_sagemaker_admin_role。此動作可讓您存取 Elastic Inference 加速器。

AWS Shield

無法存取任何此服務 APIs或主控台。

Amazon Simple Workflow Service

無法存取任何此服務 APIs或主控台。