本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AMS 進階開發人員模式入門
了解具有 AMS 進階開發人員模式的各種 AMS 進階帳戶,以及如何成功實作開發人員模式。
AMS 開發人員模式的先決條件
以下是實作開發人員模式的先決條件:
您必須是至少擁有一個已加入 AMS Advanced Plus 或 Premium 帳戶的 AMS Advanced 客戶。
您使用的任何帳戶都必須是 AMS Advanced Plus 或 Premium 帳戶。
多帳戶登陸區域 (MALZ):您必須使用
AWSManagedServicesDevelopmentRole預先定義的 AWS Identity and Access Management (IAM) 角色。您請求此角色。下一節說明如何取得開發人員模式許可。單一帳戶登陸區域 (SALZ):您必須使用
customer_developer_role預先定義的 AWS Identity and Access Management (IAM) 角色。您請求此角色。下一節說明如何取得開發人員模式許可。
如何實作 AMS 進階開發人員模式
您可以請求使用預先定義的 IAM 角色佈建符合資格的 AMS Advanced 帳戶,以實作開發人員模式:
MALZ:
AWSManagedServicesDevelopmentRoleSALZ:
customer_developer_role
然後,您將角色指派給聯合網路中的相關使用者。
AMS Advanced 建議您確保使用開發人員模式符合您的內部控制架構和標準,因為開發人員模式會建立兩種變更向量:適用於 AMS 進階受管資源的 AMS 進階變更管理,以及適用於您身為客戶管理之資源的客戶受管角色聯合。雖然 AMS Advanced 程序仍符合我們的宣告,但客戶程序和控制架構可能需要更新。
在 AMS Advanced 帳戶中實作開發人員模式
確認您想要與開發人員模式搭配使用的帳戶符合 中列出的要求AMS 開發人員模式的先決條件。
使用變更類型 (CT) 管理 | 受管帳戶 | 開發人員模式 | 啟用 (需要檢閱) 提交變更請求 (RFC)。如需如何使用此 CT 的範例,請參閱開發人員模式 | 啟用 (需要檢閱)。
處理 CT 之後,預先定義的 IAM 角色 (
AWSManagedServicesDevelopmentRoleMALZ 為 ,SALZcustomer_developer_role為 ) 會在請求的帳戶中佈建。使用內部聯合程序,將適當的角色指派給需要開發人員模式存取的使用者。
AMS Advanced 建議您限制存取,以防止不需要或未核准的資源佈建或變更。
AMS 進階開發人員模式許可
預先定義的角色 (AWSManagedServicesDevelopmentRole適用於 MALZ、customer_developer_role適用於 SALZ) 會授予許可,以在 AMS Advanced VPC 內建立應用程式基礎設施資源,包括 IAM 角色,同時限制存取由 AMS Advanced 操作的共用服務元件 (例如,管理主機、網域控制站、Trend Micro EPS、堡壘和不支援的 AWS 服務)。此角色也會限制對下列項目的存取 AWS 服務:Amazon GuardDuty AWS Organizations、 AWS Directory Service APIs 和 AMS Advanced 日誌。
雖然角色可讓您建立其他 IAM 角色,但開發人員模式存取中包含的相同許可界限會在 建立的任何 IAM 角色上強制執行AWSManagedServicesDevelopmentRole。
