Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Modalità AMS Advanced Developer
**Topics**
+ [Guida introduttiva alla modalità AMS Advanced Developer](developer-mode-implement.md)
+ [Sicurezza e conformità in modalità Sviluppatore](developer-mode-security-and-compliance.md)
+ [Gestione delle modifiche in modalità Sviluppatore](developer-mode-change-management.md)
+ [Provisioning dell'infrastruttura in modalità AMS Developer](developer-mode-provisioning.md)
+ [Controlli Detective in modalità AMS Developer](developer-mode-detective-controls.md)
+ [Registrazione, monitoraggio e gestione degli eventi in modalità AMS Developer](developer-mode-logging.md)
+ [Gestione degli incidenti in modalità AMS Developer](developer-mode-incident-management.md)
+ [Gestione delle patch in modalità AMS Developer](developer-mode-patch-management.md)
+ [Gestione della continuità in modalità AMS Developer](developer-mode-continuity.md)
+ [Gestione della sicurezza e degli accessi in modalità AMS Developer](developer-mode-security-and-access.md)
La modalità sviluppatore di AWS Managed Services (AMS) utilizza autorizzazioni elevate negli account AMS Advanced Plus e Premium per fornire e aggiornare le risorse AWS al di fuori del processo di gestione delle modifiche di AMS Advanced. La modalità AMS Advanced Developer esegue questa operazione sfruttando le chiamate API AWS native all'interno di AMS Advanced Virtual Private Cloud (VPC), consentendoti di progettare e implementare infrastrutture e applicazioni nel tuo ambiente gestito.
Quando si utilizza un account con la modalità Sviluppatore abilitata, vengono fornite la gestione della continuità, la gestione delle patch e la gestione delle modifiche per le risorse fornite tramite il processo di gestione delle modifiche AMS Advanced o utilizzando un'Amazon Machine Image (AMI) AMS. Tuttavia, queste funzionalità di gestione AMS non sono disponibili per le risorse fornite in modalità nativa. AWS APIs
L'utente è responsabile del monitoraggio delle risorse dell'infrastruttura fornite al di fuori del processo di gestione delle modifiche di AMS Advanced. La modalità sviluppatore è compatibile con i carichi di lavoro di produzione e non di produzione. Con autorizzazioni elevate, hai una maggiore responsabilità nel garantire il rispetto dei controlli interni.
**Importante**
Le risorse create utilizzando la modalità Sviluppatore possono essere gestite da AMS Advanced solo se vengono create utilizzando i processi di gestione delle modifiche di AMS Advanced.
La modalità sviluppatore è una delle modalità AMS Advanced che puoi utilizzare. Per ulteriori informazioni, consulta [Panoramica delle modalità](ams-modes-ug.md).
# Guida introduttiva alla modalità AMS Advanced Developer
Scopri i vari account AMS Advanced con la modalità AMS Advanced Developer e come implementare con successo la modalità Sviluppatore.
**Topics**
+ [Prima di iniziare](developer-mode-faqs.md)
+ [Prerequisiti per la modalità Sviluppatore](#developer-mode-implement-prerequisites)
+ [Come implementare la modalità Sviluppatore](#developer-mode-implement-steps)
+ [Autorizzazioni in modalità sviluppatore](#developer-mode-role)
# Prima di iniziare con la modalità AMS Developer
Prima di implementare la modalità Sviluppatore, ci sono alcune cose che dovresti sapere.
AMS Advanced non è in grado di gestire gli stack o le risorse esistenti in un DevMode account creato al di fuori del processo di gestione delle modifiche di AMS Advanced tramite richieste di modifica (RFCs). Tuttavia, mentre l'account è attivo DevMode, AMS Advanced continua a gestire le risorse fornite tramite il processo di gestione delle modifiche di AMS Advanced con. RFCs
Non è possibile iniziare con un DevMode account e successivamente convertirlo in un account di applicazione gestito da AMS Advanced.
## Prerequisiti per la modalità AMS Developer
Di seguito sono riportati i prerequisiti per l'implementazione della modalità Sviluppatore:
+ Devi essere un cliente AMS Advanced con almeno un account AMS Advanced Plus o Premium registrato.
+ Qualsiasi account utilizzato deve essere un account AMS Advanced Plus o Premium.
+ **Multi-Account Landing Zone (MALZ)**: è necessario utilizzare il ruolo `AWSManagedServicesDevelopmentRole` predefinito AWS Identity and Access Management (IAM). Richiedete questo ruolo. La sezione successiva descrive come acquisire le autorizzazioni in modalità Sviluppatore.
+ **Single-Account Landing Zone (SALZ)**: è necessario utilizzare il ruolo `customer_developer_role` predefinito AWS Identity and Access Management (IAM). Richiedete questo ruolo. La sezione successiva descrive come acquisire le autorizzazioni in modalità Sviluppatore.
## Come implementare la modalità AMS Advanced Developer
Implementate la modalità Developer richiedendo che al vostro account AMS Advanced idoneo venga assegnato il ruolo IAM predefinito:
+ **MALZ:** `AWSManagedServicesDevelopmentRole`
+ **SALE**: `customer_developer_role`
Quindi assegni il ruolo agli utenti pertinenti nella tua rete federata.
AMS Advanced consiglia di assicurarsi che l'uso della modalità Sviluppatore sia conforme ai framework e agli standard di controllo interni in quanto la modalità Sviluppatore crea due vettori di cambiamento: AMS Advanced change management per AMS Advanced e federazione dei ruoli gestita dal cliente per le risorse che, in qualità di nostro cliente, gestisci. Sebbene i processi AMS Advanced rimangano conformi alle nostre dichiarazioni, potrebbe essere necessario aggiornare i processi e i quadri di controllo dei clienti.
**Per implementare la modalità Sviluppatore nel tuo account AMS Advanced**
1. Verifica che l'account che desideri utilizzare con la modalità Sviluppatore soddisfi i requisiti elencati in[Prerequisiti per la modalità AMS Developer](#developer-mode-implement-prerequisites).
1. Invia una richiesta di modifica (RFC) utilizzando la modalità Gestione del tipo di modifica (CT) \$1 Account gestito \$1 Modalità sviluppatore \$1 Abilita (automazione gestita). Per un esempio di come utilizzare questo CT, vedi [Developer Mode \$1 Enable (Managed Automation)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-developer-mode-enable-review-required.html).
Dopo l'elaborazione del CT, il ruolo IAM predefinito (`AWSManagedServicesDevelopmentRole`per **MALZ**, `customer_developer_role` per **SALZ**) viene fornito nell'account richiesto.
1. Assegna il ruolo appropriato agli utenti che richiedono l'accesso in modalità Sviluppatore utilizzando il processo di federazione interno.
AMS Advanced consiglia di limitare l'accesso per evitare la fornitura o la modifica delle risorse indesiderate o non approvate.
## Autorizzazioni in modalità AMS Advanced Developer
Il ruolo predefinito (`AWSManagedServicesDevelopmentRole`per **MALZ, `customer_developer_role` per **SALZ****) concede l'autorizzazione a creare risorse di infrastruttura applicativa all'interno di AMS Advanced VPC, inclusi i ruoli IAM, limitando al contempo l'accesso ai componenti di *servizio condivisi* gestiti da AMS Advanced (ad esempio, host di gestione, controller di dominio, Trend Micro EPS, bastioni e servizi AWS non supportati). Il ruolo limita anche l'accesso ai seguenti registri Servizi AWS: Amazon GuardDuty e AMS Advanced. AWS Organizations AWS Directory Service APIs
Sebbene il ruolo consenta di creare ruoli IAM aggiuntivi, gli stessi limiti di autorizzazione inclusi nell'accesso in modalità Sviluppatore vengono applicati a qualsiasi ruolo IAM creato da. `AWSManagedServicesDevelopmentRole`
# Sicurezza e conformità in modalità Sviluppatore
La sicurezza e la conformità sono una responsabilità condivisa tra AMS Advanced e te come nostro cliente. La modalità AMS Advanced Developer trasferisce all'utente la responsabilità condivisa per le risorse fornite al di fuori del processo di gestione delle modifiche o fornite tramite la gestione delle modifiche ma aggiornate con le autorizzazioni della modalità Sviluppatore. Per ulteriori informazioni sulla responsabilità condivisa, consulta [AWS Managed Services](https://aws.amazon.com/managed-services/).
**Avvertenze:**
+ DevMode consente a te e al tuo team autorizzato di aggirare i deny-by-default principi alla base della sicurezza AMS. I vantaggi, il self-service e la riduzione dei tempi di attesa per AMS devono essere soppesati rispetto agli svantaggi: chiunque può eseguire azioni impreviste e distruttive all'insaputa del proprio team di sicurezza. I tipi di modifiche automatiche per abilitare la modalità Dev e la modalità Direct Change sono esposti e qualsiasi persona autorizzata dell'organizzazione può eseguirli CTs e abilitarli.
+ Sei responsabile della gestione delle autorizzazioni di esecuzione CT dalla tua base di utenti.
+ AMS non gestisce i permessi di esecuzione CT
**Raccomandazioni:**
+ **Proteggere**
+ I clienti possono impedire l'accesso a questo CT tramite autorizzazioni, vedi [Restrict permissions with IAM role policy statements](https://docs.aws.amazon.com/managedservices/latest/userguide/request-iam-user.html)
+ Impedisci l'accesso a questo CT implementando un proxy come un sistema ITSM
+ Utilizza politiche di controllo del servizio (SCPs) che impediscono politiche e comportamenti secondo necessità, vedi [AMS Preventative and Detective](https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html) Controls Library
+ **Rileva**
+ Monitora le tue RFC per verificare che queste CTs (abilita la modalità sviluppatore ct-1opjmhuddw194 e la modalità Direct change, abilita ct-3rd4781c2nnhp) vengano eseguite e rispondi di conseguenza
+ Esamina e and/or verifica la presenza delle risorse IAM nei tuoi account per identificare quegli account in cui sono state implementate la modalità Developer o la modalità Direct Change
+ **Rispondi**
+ Se necessario, rimuovi gli account in modalità Sviluppatore
## Sicurezza in modalità Sviluppatore
AMS Advanced offre un valore aggiunto con una landing zone prescrittiva, un sistema di gestione delle modifiche e una gestione degli accessi. Quando si utilizza la modalità Sviluppatore, il valore di sicurezza di AMS Advanced viene mantenuto utilizzando la stessa configurazione degli account AMS Advanced standard che stabilisce la rete di base con protezione avanzata AMS Advanced. La rete è protetta dal limite di autorizzazioni applicato nel ruolo (`AWSManagedServicesDevelopmentRole`per **MALZ, `customer_developer_role` per **SALZ****), che impedisce all'utente di scomporre le protezioni dei parametri stabilite al momento della configurazione dell'account.
Ad esempio, gli utenti con il ruolo possono accedere ad Amazon Route 53 ma la zona ospitata interna di AMS Advanced è limitata. Gli stessi limiti di autorizzazione vengono applicati a un ruolo IAM creato da, applicando i limiti di autorizzazione su the`AWSManagedServicesDevelopmentRole`, `AWSManagedServicesDevelopmentRole` che impedisce all'utente di scomporre le protezioni dei parametri stabilite al momento dell'onboarding dell'account su AMS Advanced.
## Conformità in modalità Sviluppatore
La modalità sviluppatore è compatibile con i carichi di lavoro di produzione e non di produzione. È responsabilità dell'utente garantire il rispetto di tutti gli standard di conformità (ad esempio, PHI, HIPAA, PCI) e garantire che l'uso della modalità Sviluppatore sia conforme ai framework e agli standard di controllo interni.
# Gestione delle modifiche in modalità Sviluppatore
La gestione delle modifiche è il processo utilizzato dal servizio AMS Advanced per implementare le richieste di modifica. Una richiesta di modifica (RFC) è una richiesta creata dall'utente o da AMS Advanced tramite l'interfaccia AMS Advanced per apportare una modifica all'ambiente gestito e include un ID del tipo di modifica (CT) per una particolare operazione. Per ulteriori informazioni, consulta [Modifiche alle modalità di gestione](using-change-management.md).
La gestione delle modifiche non viene applicata negli account AMS Advanced a cui sono concesse le autorizzazioni in modalità Sviluppatore. Gli utenti a cui è stata concessa l'autorizzazione in modalità Sviluppatore con il ruolo IAM (`AWSManagedServicesDevelopmentRole`per **MALZ**, `customer_developer_role` per **SALZ**), possono utilizzare l'accesso AWS API nativo per fornire e apportare modifiche alle risorse nei propri account AMS Advanced. Gli utenti che non hanno il ruolo appropriato in questi account devono utilizzare il processo di gestione delle modifiche di AMS Advanced per apportare modifiche.
**Importante**
Le risorse create utilizzando la modalità Sviluppatore possono essere gestite da AMS Advanced solo se vengono create utilizzando i processi di gestione delle modifiche di AMS Advanced. Le richieste di modifiche inviate ad AMS Advanced per risorse create al di fuori del processo di gestione delle modifiche di AMS Advanced vengono rifiutate da AMS Advanced perché devono essere gestite dall'utente.
## Restrizioni dell'API per i servizi di provisioning self-service
Tutti i servizi autoforniti da AMS Advanced sono supportati dalla modalità Sviluppatore. L'accesso ai servizi forniti autonomamente è soggetto alle limitazioni descritte nelle rispettive sezioni della guida per l'utente per ciascuno di essi. Se un servizio con fornitura automatica non è disponibile con il ruolo in modalità Sviluppatore, puoi richiedere un ruolo aggiornato tramite il tipo di modifica della modalità Sviluppatore.
I seguenti servizi non forniscono l'accesso completo al servizio: APIs
**Servizi forniti autonomamente limitati in modalità Sviluppatore**
| Servizio | Note |
| --- | --- |
| Amazon API Gateway | Tutte le APIs chiamate Gateway sono consentite tranne. `SetWebACL` |
| Application Auto Scaling | Può solo registrare o annullare la registrazione di obiettivi scalabili e inserire o eliminare una politica di scalabilità. |
| AWS CloudFormation | Non è possibile accedere o modificare gli CloudFormation stack il cui nome è preceduto da. `mc-` |
| AWS CloudTrail | Non è possibile accedere o modificare CloudTrail risorse il cui nome è preceduto da. `ams-` and/or `mc-` |
| Amazon Cognito (pool di utenti) | Impossibile associare token software. Impossibile creare pool di utenti, processi di importazione utenti, server di risorse o provider di identità. |
| AWS Directory Service | Solo le seguenti Directory Service azioni sono richieste da `Connect` and `WorkSpaces` services. Tutte le altre azioni del Directory Service sono negate dalla politica sui limiti delle autorizzazioni della modalità Sviluppatore: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/developer-mode-change-management.html) Negli account di landing zone con account singolo, la politica di confine nega esplicitamente l'accesso alla directory gestita di AMS Advanced utilizzata da AMS Advanced per mantenere l'accesso agli account abilitati alla modalità sviluppo. |
| Amazon Elastic Compute Cloud | Impossibile accedere ad Amazon EC2 APIs che contiene la stringa: `DhcpOptions``Gateway`,`Subnet`,`VPC`, e`VPN`. Non è possibile accedere o modificare EC2 le risorse Amazon con un tag preceduto da`AMS`, `mc``ManagementHostASG`, and/or `sentinel`. |
| Amazon EC2 (rapporti) | È concesso solo l'accesso alla visualizzazione (non è possibile modificare). Nota: Amazon EC2 Reports si sta trasferendo. La voce del menu **Report** verrà rimossa dal menu di navigazione EC2 della console Amazon. Per visualizzare i report EC2 sull'utilizzo di Amazon dopo la rimozione, usa la console AWS Billing and Cost Management. |
| AWS Identity and Access Management (IAM) | Non è possibile eliminare i limiti di autorizzazione esistenti o modificare le politiche relative alle password degli utenti IAM. Non è possibile creare o modificare risorse IAM a meno che non si utilizzi il ruolo IAM corretto (`AWSManagedServicesDevelopmentRole`per **MALZ**, `customer_developer_role` per **SALZ**)). Non è possibile modificare le risorse IAM con il prefisso:`ams`,,,`mc`. `customer_deny_policy` and/or `sentinel` Quando si crea una nuova risorsa IAM (ruolo, utente o gruppo), è necessario allegare il limite di autorizzazione (**MALZ**:`AWSManagedServicesDevelopmentRolePermissionsBoundary`, **SALZ**:`ams-app-infra-permissions-boundary`). |
| AWS Key Management Service (AWS KMS) | Impossibile accedere o modificare le chiavi KMS gestite da AMS Advanced. |
| AWS Lambda | Non è possibile accedere o modificare le AWS Lambda funzioni che hanno il prefisso con. `AMS` |
| CloudWatch Registri | Impossibile accedere ai flussi di CloudWatch log il cui nome è preceduto da:`mc`,,,`aws`. `lambda` and/or `AMS` |
| Amazon Relational Database Service (Amazon RDS) | Non è possibile accedere o modificare i database Amazon Relational Database Service (Amazon RDS) DBs () con un nome preceduto da:. `mc-` |
| AWS Resource Groups | Può accedere solo alle azioni `Get` API `List` di `Search` Resource Group e. |
| Amazon Route 53 | Impossibile accedere o modificare le risorse gestite da Route53 AMS Advanced. |
| Amazon S3 | Non è possibile accedere ai bucket Amazon S3 il cui nome è preceduto da:`ams-*`,, `ams` o. `ms-a` `mc-a` |
| AWS Security Token Service | L'unica API del servizio di token di sicurezza consentita è. `DecodeAuthorizationMessage` |
| Amazon SNS | Impossibile accedere agli argomenti SNS il cui nome è preceduto da: `AMS-``Energon-Topic`, o. `MMS-Topic` |
| AWS Systems Manager Gestore (SSM) | Impossibile modificare i parametri SSM con il prefisso`ams`, `mc` o. `svc` Non è possibile utilizzare l'API SSM `SendCommand` con EC2 istanze Amazon con un tag preceduto da o. `ams` `mc` |
| AWS Etichettatura | Hai accesso solo alle azioni dell'API di AWS tagging con il prefisso. `Get` |
| AWS Lake Formation | Le seguenti azioni AWS Lake Formation API sono negate: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/developer-mode-change-management.html) |
| Amazon Elastic Inference | Puoi chiamare solo l'azione dell'API Elastic Inference. `elastic-inference:Connect` Questa autorizzazione è inclusa nel `customer_sagemaker_admin_policy` file allegato a. `customer_sagemaker_admin_role` Questa azione consente di accedere all'acceleratore Elastic Inference. |
| AWS Shield | Nessun accesso a nessuno di questi servizi APIs o console. |
| Amazon Simple Workflow Service | Nessun accesso a nessuno di questi servizi APIs o console. |
# Provisioning dell'infrastruttura in modalità AMS Developer
Gli utenti che non dispongono del ruolo IAM in modalità Sviluppatore`AWSManagedServicesDevelopmentRole`, negli account in cui è abilitata la modalità Sviluppatore, devono seguire il processo di gestione delle modifiche di AMS Advanced che sfrutta AMS Advanced. AMIs Gli utenti con il ruolo corretto (**MALZ:`AWSManagedServicesDevelopmentRole`, **SALZ****:`customer_developer_role`) possono utilizzare il sistema di gestione delle modifiche AMS Advanced e AMS Advanced AMIs ma non sono obbligati a farlo.
**Nota**
Un' AWS AMI che non è stata elaborata tramite l'inserimento di carichi di lavoro AMS Advanced o creata in un account AMS Advanced, non includerà le configurazioni richieste da AMS Advanced.
# Controlli Detective in modalità AMS Developer
Questa sezione è stata redatta perché contiene informazioni sensibili relative alla sicurezza di AMS. **Queste informazioni sono disponibili nella documentazione della console AMS.** Per accedere ad AWS Artifact, puoi contattare il tuo CSDM per ricevere istruzioni o andare alla pagina Getting Started [with](https://aws.amazon.com/artifact/getting-started) AWS Artifact.
# Registrazione, monitoraggio e gestione degli eventi in modalità AMS Developer
La registrazione, il monitoraggio e la gestione degli eventi non sono disponibili per le risorse fornite al di fuori del processo di gestione delle modifiche di AMS Advanced o per le risorse fornite tramite la gestione delle modifiche e successivamente modificate da un account che utilizza le autorizzazioni in modalità Sviluppatore.
# Gestione degli incidenti in modalità AMS Developer
Nessuna modifica ai tempi di risposta agli incidenti. La risoluzione degli incidenti è il modo migliore per le risorse fornite al di fuori del processo di gestione delle modifiche o per le risorse fornite tramite la gestione delle modifiche e quindi modificate da un account utilizzando le autorizzazioni della modalità Sviluppatore.
**Nota**
L'accordo sul livello di servizio (SLA) di AMS non si applica alle risorse create o aggiornate al di fuori del sistema di gestione delle modifiche AMS (richieste di modifica o RFCs), inclusa la modalità sviluppatore; pertanto, le risorse aggiornate o create in modalità sviluppatore vengono automaticamente degradate a un P3 e il supporto AMS è il massimo sforzo.
# Gestione delle patch in modalità AMS Developer
La gestione delle patch non è disponibile per le risorse fornite al di fuori del processo di gestione delle modifiche AMS Advanced o per le risorse fornite tramite la gestione delle modifiche e successivamente modificate da un account che utilizza le autorizzazioni in modalità Sviluppatore. Tempi di applicazione delle patch:
+ Per un aggiornamento di sicurezza fondamentale: entro 10 giorni lavorativi dal rilascio da parte del fornitore per le risorse fornite tramite la gestione delle modifiche e successivamente modificate da un account che utilizza le autorizzazioni della modalità Sviluppatore.
+ Per un aggiornamento importante: entro 2 mesi dal rilascio da parte del fornitore per le risorse fornite tramite la gestione delle modifiche e successivamente modificate da un account che utilizza le autorizzazioni in modalità Sviluppatore.
# Gestione della continuità in modalità AMS Developer
La gestione della continuità non è disponibile per le risorse fornite al di fuori del processo di gestione delle modifiche AMS Advanced o per le risorse fornite tramite la gestione delle modifiche e successivamente modificate da un account che utilizza le autorizzazioni della modalità Sviluppatore.
Il tempo di avvio del ripristino dell'ambiente può richiedere fino a 12 ore per le risorse fornite al di fuori del processo di gestione delle modifiche di AMS Advanced o per le risorse fornite tramite la gestione delle modifiche e successivamente modificate da un account che utilizza le autorizzazioni in modalità Sviluppatore.
# Gestione della sicurezza e degli accessi in modalità AMS Developer
La protezione antimalware è tua responsabilità per le risorse fornite al di fuori del processo di gestione delle modifiche AMS Advanced o per le risorse fornite tramite la gestione delle modifiche e poi modificate da un account utilizzando le autorizzazioni della modalità Sviluppatore. L'accesso alle istanze Amazon Elastic Compute Cloud (Amazon EC2) non fornite tramite AMS Advanced Change Management potrebbe essere controllato da coppie di chiavi anziché fornire un accesso federato.