本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
開發人員模式中的安全性和合規性
安全與合規是 AMS Advanced 與身為客戶的您共同的責任。AMS Advanced Developer 模式會將變更管理程序之外佈建或透過變更管理佈建,但使用開發人員模式許可更新之資源的共同責任轉移給您。如需共同責任的詳細資訊,請參閱 AWS Managed Services
注意:
DevMode 可讓您和您的授權團隊略過 AMS 安全性核心的deny-by-default原則。優點、自助服務、較少等待 AMS 的時間必須權衡缺點,任何人都可以在不了解其安全團隊的情況下執行非預期且破壞性的動作。用於啟用開發模式和直接變更模式的自動變更類型會公開,且組織中任何獲授權的人員都可以執行這些 CTs 並啟用這些模式。
您負責從使用者基礎管理 CT 執行的許可。
AMS 不會管理 CT 執行許可
建議:
保護
客戶可以透過許可防止存取此 CT,請參閱使用 IAM 角色政策陳述式限制許可
透過實作 ITSM 系統等代理來防止存取此 CT
利用可視需要防止政策和行為的服務控制政策 (SCPs),請參閱 AMS Preventative and Detective Controls Library
偵測
監控 RFC 的這些 CTs (啟用開發人員模式 ct-1opjmhuddw194 和直接變更模式,啟用 ct-3rd4781c2nnhp) 正在執行並相應地回應
檢閱和/或稽核您的帳戶是否存在 IAM 資源,以識別已部署開發人員模式或直接變更模式的帳戶
回應
視需要在開發人員模式中移除帳戶
開發人員模式中的安全性
AMS Advanced 提供具有規範登陸區域、變更管理系統和存取管理的額外值。使用開發人員模式時,AMS Advanced 的安全值會使用建立基準 AMS Advanced 安全性強化網路的標準 AMS Advanced 帳戶相同的帳戶組態來保留。網路受到角色中強制執行的許可界限 (AWSManagedServicesDevelopmentRole適用於 MALZ,customer_developer_role適用於 SALZ) 的保護,這會限制使用者分解帳戶設定時建立的參數保護。
例如,具有 角色的使用者可以存取 Amazon Route 53,但 AMS Advanced 內部託管區域受到限制。相同的許可界限會在 建立的 IAM 角色上強制執行AWSManagedServicesDevelopmentRole,在 上強制執行許可界限AWSManagedServicesDevelopmentRole,以限制使用者細分帳戶加入 AMS Advanced 時建立的參數保護。
開發人員模式中的合規
開發人員模式與生產和非生產工作負載相容。您有責任確保遵守任何合規標準 (例如 PHI、HIPAA、PCI),並確保使用開發人員模式符合您的內部控制架構和標準。
