Introdução ao modo AMS Advanced Developer

Aprenda as várias contas do AMS Advanced com o modo Desenvolvedor Avançado do AMS e como implementar com êxito o modo Desenvolvedor.

Tópicos

• Antes de começar

• Pré-requisitos para o modo Desenvolvedor

• Como implementar o modo Desenvolvedor

• Permissões do modo de desenvolvedor

Pré-requisitos para o modo AMS Developer

A seguir estão os pré-requisitos para implementar o modo Desenvolvedor:

• Você deve ser um cliente do AMS Advanced com pelo menos uma conta AMS Advanced Plus ou Premium integrada.

• Qualquer conta que você usa deve ser uma conta AMS Advanced Plus ou Premium.

• Zona de destino de várias contas (MALZ): você deve usar a função AWSManagedServicesDevelopmentRole predefinida AWS Identity and Access Management (IAM). Você solicita essa função. A próxima seção descreve como adquirir as permissões do modo Desenvolvedor.

• Zona de destino de conta única (SALZ): você deve usar a função customer_developer_role predefinida AWS Identity and Access Management (IAM). Você solicita essa função. A próxima seção descreve como adquirir as permissões do modo Desenvolvedor.

Como implementar o modo AMS Advanced Developer

Você implementa o modo Desenvolvedor solicitando que sua conta qualificada do AMS Advanced seja provisionada com a função predefinida do IAM:

• MALZ: AWSManagedServicesDevelopmentRole

• SAL: customer_developer_role

Em seguida, você atribui a função aos usuários relevantes em sua rede federada.

O AMS Advanced recomenda que você garanta que o uso do modo Desenvolvedor esteja em conformidade com suas estruturas e padrões de controle interno, pois o modo Desenvolvedor cria dois vetores de mudança: gerenciamento avançado de alterações do AMS para recursos gerenciados pelo AMS Advanced e federação de funções gerenciadas pelo cliente para recursos que você, como nosso cliente, gerencia. Embora os processos do AMS Advanced permaneçam em conformidade com nossas declarações, os processos do cliente e as estruturas de controle talvez precisem ser atualizados.

Para implementar o modo Desenvolvedor em sua conta do AMS Advanced

1. Confirme se a conta que você deseja usar com o modo Desenvolvedor atende aos requisitos listados emPré-requisitos para o modo AMS Developer.

2. Envie uma solicitação de alteração (RFC) usando o tipo de alteração (CT) Gerenciamento | Conta gerenciada | Modo de desenvolvedor | Ativar (revisão necessária). Para obter um exemplo de como usar essa CT, consulte Modo de desenvolvedor | Ativar (revisão necessária).

   Depois que a CT é processada, a função predefinida do IAM (AWSManagedServicesDevelopmentRolepara MALZ, customer_developer_role para SALZ) é provisionada na conta solicitada.

3. Atribua a função apropriada aos usuários que precisam de acesso ao modo Desenvolvedor usando seu processo interno de federação.

   O AMS Advanced recomenda que você limite o acesso para evitar o provisionamento indesejado ou não aprovado de recursos ou alterações nos mesmos.

Permissões do modo Desenvolvedor Avançado do AMS

A função predefinida (AWSManagedServicesDevelopmentRolepara MALZ, para SALZ) concede permissão customer_developer_role para criar recursos de infraestrutura de aplicativos dentro da VPC avançada do AMS, incluindo funções do IAM, ao mesmo tempo em que restringe o acesso aos componentes de serviços compartilhados que são operados pelo AMS Advanced (por exemplo, hosts de gerenciamento, controladores de domínio, Trend Micro EPS, bastiões e serviços da AWS sem suporte). A função também restringe o acesso aos seguintes registros Serviços da AWS: Amazon GuardDuty,, AWS Organizations AWS Directory Service APIs, e AMS Advanced.

Embora a função permita que você crie funções adicionais do IAM, os mesmos limites de permissões incluídos no acesso ao modo Desenvolvedor são aplicados em qualquer função do IAM criada peloAWSManagedServicesDevelopmentRole.