翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AMS Advanced Developer モード
<a name="developer-mode-section"></a>

**Topics**
+ [AMS Advanced Developer モードの開始方法](developer-mode-implement.md)
+ [デベロッパーモードでのセキュリティとコンプライアンス](developer-mode-security-and-compliance.md)
+ [デベロッパーモードでの変更管理](developer-mode-change-management.md)
+ [AMS Developer モードでのインフラストラクチャのプロビジョニング](developer-mode-provisioning.md)
+ [AMS デベロッパーモードでの検出コントロール](developer-mode-detective-controls.md)
+ [AMS Developer モードでのログ記録、モニタリング、イベント管理](developer-mode-logging.md)
+ [AMS デベロッパーモードでのインシデント管理](developer-mode-incident-management.md)
+ [AMS デベロッパーモードでのパッチ管理](developer-mode-patch-management.md)
+ [AMS デベロッパーモードでの継続管理](developer-mode-continuity.md)
+ [AMS Developer モードでのセキュリティとアクセスの管理](developer-mode-security-and-access.md)

AWS Managed Services (AMS) デベロッパーモードでは、AMS Advanced Plus および Premium アカウントの昇格されたアクセス許可を使用して、AMS Advanced 変更管理プロセス外の AWS リソースをプロビジョニングおよび更新します。AMS Advanced Developer モードは、AMS Advanced Virtual Private Cloud (VPC) 内のネイティブ AWS API コールを活用して、マネージド環境でインフラストラクチャとアプリケーションを設計および実装できるようにします。

デベロッパーモードが有効になっているアカウントを使用する場合、AMS Advanced 変更管理プロセスまたは AMS Amazon マシンイメージ (AMI) を使用してプロビジョニングされたリソースには、継続性管理、パッチ管理、変更管理が提供されます。ただし、これらの AMS 管理機能は、ネイティブ AWS APIs を介してプロビジョニングされたリソースには提供されません。

AMS Advanced 変更管理プロセス外でプロビジョニングされるインフラストラクチャリソースをモニタリングする責任があります。デベロッパーモードは、本番ワークロードと非本番ワークロードの両方と互換性があります。アクセス許可が引き上げられると、内部管理を確実に順守する責任が増大します。

**重要**  
デベロッパーモードを使用して作成したリソースは、AMS Advanced 変更管理プロセスを使用して作成された場合にのみ、AMS Advanced によって管理できます。

デベロッパーモードは、使用できる AMS Advanced モードの 1 つです。詳細については、「[モードの概要](ams-modes-ug.md)」を参照してください。

# AMS Advanced Developer モードの開始方法
<a name="developer-mode-implement"></a>

AMS Advanced Developer モードを使用したさまざまな AMS Advanced アカウントと、Developer モードを正常に実装する方法について説明します。

**Topics**
+ [[開始する前に]](developer-mode-faqs.md)
+ [デベロッパーモードの前提条件](#developer-mode-implement-prerequisites)
+ [デベロッパーモードの実装方法](#developer-mode-implement-steps)
+ [デベロッパーモードのアクセス許可](#developer-mode-role)

# AMS デベロッパーモードを開始する前に
<a name="developer-mode-faqs"></a>

デベロッパーモードを実装する前に、知っておくべきことがいくつかあります。

AMS Advanced は、変更リクエスト (RFCs) を通じて AMS Advanced 変更管理プロセス外で作成された DevMode アカウントの既存のスタックまたはリソースを管理することはできません。ただし、アカウントが DevMode にある間、AMS Advanced は AMS Advanced 変更管理プロセスを通じてプロビジョニングされたリソースを RFCs。

DevMode アカウントから始めて、後で AMS Advanced が管理するアプリケーションアカウントに隠すことはできません。

## AMS デベロッパーモードの前提条件
<a name="developer-mode-implement-prerequisites"></a>

デベロッパーモードを実装するための前提条件は次のとおりです。
+ 少なくとも 1 つのオンボードされた AMS Advanced Plus または Premium アカウントを持つ AMS Advanced のお客様である必要があります。
+ 使用するアカウントは、AMS Advanced Plus または Premium アカウントである必要があります。
+ **マルチアカウントランディングゾーン (MALZ)**: `AWSManagedServicesDevelopmentRole`事前定義された AWS Identity and Access Management (IAM) ロールを使用する必要があります。このロールをリクエストします。次のセクションでは、デベロッパーモードのアクセス許可を取得する方法について説明します。
+ **単一アカウントランディングゾーン (SALZ)**: `customer_developer_role`事前定義された AWS Identity and Access Management (IAM) ロールを使用する必要があります。このロールをリクエストします。次のセクションでは、デベロッパーモードのアクセス許可を取得する方法について説明します。

## AMS Advanced Developer モードを実装する方法
<a name="developer-mode-implement-steps"></a>

デベロッパーモードを実装するには、対象の AMS Advanced アカウントを事前定義された IAM ロールでプロビジョニングするようにリクエストします。
+ **MALZ**: `AWSManagedServicesDevelopmentRole`
+ **SALZ**: `customer_developer_role`

次に、フェデレーティッドネットワーク内の関連するユーザーにロールを割り当てます。

デベロッパーモードを使用すると、AMS Advanced マネージドリソースの AMS Advanced 変更管理と、カスタマーが管理するリソースのカスタマーマネージドロールフェデレーションの 2 つの変更ベクトルが作成されるため、AMS Advanced では、デベロッパーモードの使用が内部コントロールフレームワークと標準に準拠していることを確認することをお勧めします。AMS Advanced プロセスは宣言に準拠していますが、顧客プロセスとコントロールフレームワークを更新する必要がある場合があります。

**AMS Advanced アカウントにデベロッパーモードを実装するには**

1. デベロッパーモードで使用するアカウントが、「」に記載されている要件を満たしていることを確認します[AMS デベロッパーモードの前提条件](#developer-mode-implement-prerequisites)。

1. 変更タイプ (CT) 管理 \$1 マネージドアカウント \$1 デベロッパーモード \$1 有効化 (マネージドオートメーション) を使用して、変更リクエスト (RFC) を送信します。この CT の使用方法の例については、[「デベロッパーモード \$1 有効 (マネージドオートメーション)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-developer-mode-enable-review-required.html)」を参照してください。

   CT が処理されると、事前定義された IAM ロール (`AWSManagedServicesDevelopmentRole`**MALZ** の場合は 、**SALZ** `customer_developer_role`の場合は ) がリクエストされたアカウントにプロビジョニングされます。

1. 内部フェデレーションプロセスを使用して、開発者モードアクセスを必要とするユーザーに適切なロールを割り当てます。

   AMS Advanced では、リソースの望ましくないまたは未承認のプロビジョニングや変更を防ぐためにアクセスを制限することをお勧めします。

## AMS Advanced Developer モードのアクセス許可
<a name="developer-mode-role"></a>

事前定義されたロール (`AWSManagedServicesDevelopmentRole`**MALZ** の場合は MALZ、**SALZ** `customer_developer_role`の場合は ) は、AMS Advanced によって運用されている*共有サービス*コンポーネント (管理ホスト、ドメインコントローラー、Trend Micro EPS、踏み台、サポートされていない AWS サービスなど) へのアクセスを制限しながら、IAM ロールを含む AMS Advanced VPC 内にアプリケーションインフラストラクチャリソースを作成するアクセス許可を付与します。このロールは、 AWS のサービス Amazon GuardDuty、 AWS Organizations、 AWS Directory Service APIs、AMS Advanced ログへのアクセスも制限します。

ロールでは追加の IAM ロールを作成できますが、デベロッパーモードアクセスに含まれるのと同じアクセス許可の境界は、 によって作成されたすべての IAM ロールに適用されます`AWSManagedServicesDevelopmentRole`。

# デベロッパーモードでのセキュリティとコンプライアンス
<a name="developer-mode-security-and-compliance"></a>

セキュリティとコンプライアンスは、AMS Advanced とお客様との間の責任共有です。AMS アドバンストデベロッパーモードは、変更管理プロセス外でプロビジョニングされたリソース、または変更管理を通じてプロビジョニングされたリソースに対して、デベロッパーモードのアクセス許可で更新されたリソースに対する責任共有を移行します。責任共有の詳細については、[AWS Managed Services](https://aws.amazon.com/managed-services/)」を参照してください。

**注意：**
+ DevMode を使用すると、ユーザーと承認されたチームは、AMS セキュリティの中核となるdeny-by-defaultの原則を回避できます。利点、セルフサービス、AMS の待機時間の短縮は欠点と照らし合わせて検討する必要があります。セキュリティチームの知識がなくても、誰でも予期しない破壊的なアクションを実行できます。開発モードと直接変更モードを有効にする自動変更タイプが公開され、組織内の承認されたユーザーがこれらの CTsを実行してこれらのモードを有効にすることができます。
+ ユーザーベースからの CT 実行のアクセス許可を管理する責任があります。
+ AMS は CT 実行アクセス許可を管理しません

**推奨事項:**
+ **保護**
  + お客様は、アクセス許可によってこの CT へのアクセスを防ぐことができます。[「IAM ロールポリシーステートメントによるアクセス許可の制限](https://docs.aws.amazon.com/managedservices/latest/userguide/request-iam-user.html)」を参照してください。
  + ITSM システムなどのプロキシを実装してこの CT へのアクセスを防止する
  + 必要に応じてポリシーと動作を防止するサービスコントロールポリシー (SCPs[「AMS Preventative and Detective Controls Library](https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html)」を参照してください。
+ **検出**
  + これらの CTs の RFC をモニタリングし (開発者モード ct-1opjmhuddw194 と直接変更モードを有効にする、ct-3rd4781c2nnhp を有効にする）、それに応じて応答します。
  + アカウントで IAM リソースの有無を確認および/または監査して、デベロッパーモードまたは直接変更モードがデプロイされているアカウントを特定します。
+ **応答**
  + 必要に応じてデベロッパーモードでアカウントを削除する

## デベロッパーモードのセキュリティ
<a name="developer-mode-security"></a>

AMS Advanced は、規範的なランディングゾーン、変更管理システム、アクセス管理で追加の値を提供します。デベロッパーモードを使用する場合、AMS Advanced のセキュリティ値は、ベースライン AMS Advanced セキュリティ強化ネットワークを確立する標準 AMS Advanced アカウントと同じアカウント設定を使用して保持されます。ネットワークは、ロール (`AWSManagedServicesDevelopmentRole`**MALZ** の場合は MALZ、**SALZ** `customer_developer_role`の場合は ) で強制されるアクセス許可の境界によって保護されます。これにより、ユーザーは、アカウントの設定時に確立されたパラメータ保護を破ることが制限されます。

たとえば、 ロールを持つユーザーは Amazon Route 53 にアクセスできますが、AMS Advanced の内部ホストゾーンは制限されています。によって作成された IAM ロールにも同じアクセス許可の境界が適用され`AWSManagedServicesDevelopmentRole`、アカウント`AWSManagedServicesDevelopmentRole`が AMS Advanced にオンボーディングされたときに確立されたパラメータ保護をユーザーが壊すことを制限するアクセス許可の境界が に強制されます。

## デベロッパーモードでのコンプライアンス
<a name="developer-mode-compliance"></a>

デベロッパーモードは、本番ワークロードと非本番ワークロードの両方と互換性があります。コンプライアンス標準 (PHI、HIPAA、PCI など) を確実に順守し、デベロッパーモードの使用が内部管理フレームワークと標準に準拠していることを確認するのはお客様の責任です。

# デベロッパーモードでの変更管理
<a name="developer-mode-change-management"></a>

変更管理は、AMS Advanced サービスが変更リクエストを実装するために使用するプロセスです。変更リクエスト (RFC) は、AMS Advanced インターフェイスを介してユーザーまたは AMS Advanced によって作成され、マネージド環境に変更を加えるリクエストであり、特定のオペレーションの変更タイプ (CT) ID が含まれます。詳細については、「[変更管理モード](using-change-management.md)」を参照してください。

開発者モードのアクセス許可が付与されている AMS Advanced アカウントでは、変更管理は適用されません。IAM ロール (`AWSManagedServicesDevelopmentRole`**MALZ** の場合は 、**SALZ** `customer_developer_role`の場合は ) でデベロッパーモードのアクセス許可を付与されたユーザーは、ネイティブ AWS API アクセスを使用して、AMS Advanced アカウントのリソースをプロビジョニングおよび変更できます。これらのアカウントで適切なロールを持たないユーザーは、AMS Advanced 変更管理プロセスを使用して変更を行う必要があります。

**重要**  
デベロッパーモードを使用して作成したリソースは、AMS Advanced 変更管理プロセスを使用して作成された場合にのみ、AMS Advanced によって管理できます。AMS Advanced 変更管理プロセス外で作成されたリソースについて AMS Advanced に送信された変更のリクエストは、ユーザーが処理する必要があるため、AMS Advanced によって拒否されます。

## セルフサービスプロビジョニングサービス API の制限
<a name="developer-mode-ssps-restrictions"></a>

すべての AMS Advanced セルフプロビジョニングサービスは、 デベロッパーモードでサポートされています。セルフプロビジョニングサービスへのアクセスには、それぞれのユーザーガイドセクションで説明されている制限が適用されます。デベロッパーモードロールでセルフプロビジョニングサービスを使用できない場合は、デベロッパーモードの変更タイプを使用して更新されたロールをリクエストできます。

以下のサービスは、サービス APIs へのフルアクセスを提供しません。


**デベロッパーモードで制限されるセルフプロビジョニングサービス**  

| サービス | 注意 | 
| --- | --- | 
|  Amazon API Gateway | を除くすべての Gateway APIsコールが許可されます`SetWebACL`。 | 
|  Application Auto Scaling | スケーラブルターゲットの登録または登録解除、スケーリングポリシーの配置または削除のみが可能です。 | 
|  AWS CloudFormation | というプレフィックスが付いた名前の CloudFormation スタックにアクセスまたは変更することはできません`mc-`。 | 
|  AWS CloudTrail | `ams-` および/または というプレフィックスが付いた名前の CloudTrail リソースにアクセスまたは変更することはできません`mc-`。 | 
|  Amazon Cognito (ユーザープール） | ソフトウェアトークンを関連付けることはできません。 ユーザープール、ユーザーインポートジョブ、リソースサーバー、または ID プロバイダーを作成することはできません。 | 
|  AWS Directory Service | `Connect` および `WorkSpaces`サービスでは、次の Directory Service アクションのみが必要です。他のすべての Directory Service アクションは、デベロッパーモードのアクセス許可境界ポリシーによって拒否されます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/developer-mode-change-management.html) シングルアカウントランディングゾーンアカウントでは、境界ポリシーは、開発モードが有効なアカウントへのアクセスを維持するために AMS Advanced が使用する AMS Advanced マネージドディレクトリへのアクセスを明示的に拒否します。 | 
|  Amazon Elastic Compute Cloud | 、`DhcpOptions`、`Gateway`、`Subnet`、`VPC`および の文字列を含む Amazon EC2 APIs にはアクセスできません`VPN`。 、`AMS`、、`ManagementHostASG`および/または のプレフィックスが付いたタグを持つ Amazon EC2 `mc`リソースにアクセスまたは変更することはできません`sentinel`。 | 
|  Amazon EC2 (レポート） | ビューアクセスのみが付与されます (変更できません）。注: Amazon EC2 レポートは移動中です。**レポート**メニュー項目は Amazon EC2 コンソールのナビゲーションメニューから削除されます。削除された Amazon EC2 使用状況レポートを表示するには、 AWS Billing および コスト管理コンソールを使用します。 | 
|  AWS Identity and Access Management (IAM) | 既存のアクセス許可の境界を削除したり、IAM ユーザーパスワードポリシーを変更したりすることはできません。 正しい IAM ロール (`AWSManagedServicesDevelopmentRole` **MALZ** の場合は 、**SALZ** `customer_developer_role`の場合は ) を使用しない限り、IAM リソースを作成または変更することはできません。 プレフィックスが `ams`、、`customer_deny_policy`、および/または の IAM `mc`リソースを変更することはできません`sentinel`。 新しい IAM リソース (ロール、ユーザー、またはグループ) を作成するときは、アクセス許可の境界 (**MALZ**: `AWSManagedServicesDevelopmentRolePermissionsBoundary`、**SALZ**: `ams-app-infra-permissions-boundary`) をアタッチする必要があります。 | 
|  AWS Key Management Service (AWS KMS) | AMS Advanced マネージド KMS キーにアクセスまたは変更することはできません。 | 
|  AWS Lambda | プレフィックスが の AWS Lambda 関数にアクセスまたは変更することはできません`AMS`。 | 
|  CloudWatch Logs | 、`mc`、、`lambda`および/または というプレフィックスが付いた名前の CloudWatch `aws`ログストリームにはアクセスできません`AMS`。 | 
|  Amazon Relational Database Service (Amazon RDS) | というプレフィックスが付いた名前の Amazon Relational Database Service (Amazon RDS) データベース (DBs) にアクセスまたは変更することはできません。 `mc-` | 
|  AWS Resource Groups | `Get`、、`List`および `Search`リソースグループ API アクションにのみアクセスできます。 | 
|  Amazon Route 53 | Route53 AMS Advanced が管理するリソースにアクセスまたは変更することはできません。 | 
|  Amazon S3 | 、`ams-*`、、`ms-a`または というプレフィックスが付いた名前の Amazon S3 `ams`バケットにはアクセスできません`mc-a`。 | 
|  AWS Security Token Service | 許可されるセキュリティトークンサービス API は のみです`DecodeAuthorizationMessage`。 | 
|  Amazon SNS | 、`AMS-`、`Energon-Topic`または というプレフィックスが付いた名前の SNS トピックにはアクセスできません`MMS-Topic`。 | 
|  AWS Systems Manager マネージャー (SSM) | `ams`、、`mc`または のプレフィックスが付いた SSM パラメータを変更することはできません`svc`。 `ams` または のプレフィックスが付いたタグを持つ Amazon EC2 インスタンス`SendCommand`に対して SSM API を使用することはできません`mc`。 | 
|  AWS タグ付け | プレフィックスが の AWS タグ付け API アクションにのみアクセスできます`Get`。 | 
|  AWS Lake Formation | 次の AWS Lake Formation API アクションは拒否されます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/developer-mode-change-management.html) | 
|  Amazon Elastic Inference | Elastic Inference API アクション のみを呼び出すことができます`elastic-inference:Connect`。このアクセス許可は、 にアタッチ`customer_sagemaker_admin_policy`されている に含まれています`customer_sagemaker_admin_role`。このアクションにより、Elastic Inference アクセラレーターにアクセスできます。 | 
|  AWS Shield | このサービスの APIs またはコンソールにはアクセスできません。 | 
|  Amazon Simple Workflow Service | このサービスの APIs またはコンソールにはアクセスできません。 | 

# AMS Developer モードでのインフラストラクチャのプロビジョニング
<a name="developer-mode-provisioning"></a>

デベロッパーモードが有効になっているアカウント`AWSManagedServicesDevelopmentRole`で、デベロッパーモード IAM ロール を持たないユーザーは、AMS Advanced AMIs を活用する AMS Advanced 変更管理プロセスに従う必要があります。正しいロール (**MALZ**: `AWSManagedServicesDevelopmentRole`、**SALZ**: `customer_developer_role`) を持つユーザーは、AMS Advanced 変更管理システムと AMS Advanced AMIs を使用できますが、必須ではありません。

**注記**  
AMS Advanced ワークロードの取り込みによって処理されていない、または AMS Advanced アカウントで作成された AWS AMI には、AMS Advanced に必要な設定は含まれません。



# AMS デベロッパーモードでの検出コントロール
<a name="developer-mode-detective-controls"></a>

このセクションは、機密性の高い AMS セキュリティ関連情報が含まれているため、編集されています。この情報は、AMS コンソールの**ドキュメント**から入手できます。AWS Artifact にアクセスするには、CSDM に連絡して手順を確認するか、[「AWS Artifact の開始方法](https://aws.amazon.com/artifact/getting-started)」を参照してください。

# AMS Developer モードでのログ記録、モニタリング、イベント管理
<a name="developer-mode-logging"></a>

ログ記録、モニタリング、イベント管理は、AMS Advanced 変更管理プロセス外でプロビジョニングされたリソースや、変更管理を通じてプロビジョニングされ、デベロッパーモードのアクセス許可を使用してアカウントによって変更されたリソースでは使用できません。

# AMS デベロッパーモードでのインシデント管理
<a name="developer-mode-incident-management"></a>

インシデント対応時間に変更はありません。インシデント解決は、変更管理プロセス外でプロビジョニングされたリソース、または変更管理を通じてプロビジョニングされ、デベロッパーモードのアクセス許可を使用してアカウントによって変更されたリソースのベストエフォートです。

**注記**  
AMS サービスレベルアグリーメント (SLA) は、AMS 変更管理システムの外部で作成または更新されたリソース (変更または RFCs のリクエスト) には適用されません。デベロッパーモードが含まれるため、デベロッパーモードで更新または作成されたリソースは自動的に P3 に低下し、AMS サポートがベストエフォートです。

# AMS デベロッパーモードでのパッチ管理
<a name="developer-mode-patch-management"></a>

パッチ管理は、AMS Advanced 変更管理プロセス外でプロビジョニングされたリソース、または変更管理を通じてプロビジョニングされ、デベロッパーモードのアクセス許可を使用してアカウントによって変更されたリソースでは使用できません。パッチ適用時間：
+ 重要なセキュリティ更新の場合: ベンダーによるリリースから 10 営業日以内に、変更管理によってプロビジョニングされ、デベロッパーモードのアクセス許可を使用してアカウントによって変更されたリソース。
+ 重要な更新の場合: ベンダーによるリリースから 2 か月以内に、変更管理によってプロビジョニングされ、デベロッパーモードのアクセス許可を使用してアカウントによって変更されたリソース。

# AMS デベロッパーモードでの継続管理
<a name="developer-mode-continuity"></a>

継続性管理は、AMS Advanced 変更管理プロセス外でプロビジョニングされたリソース、または変更管理を通じてプロビジョニングされ、デベロッパーモードのアクセス許可を使用してアカウントによって変更されたリソースでは使用できません。

環境復旧の開始時間は、AMS Advanced 変更管理プロセス外でプロビジョニングされたリソース、または変更管理を通じてプロビジョニングされ、デベロッパーモードのアクセス許可を使用してアカウントによって変更されたリソースの場合、最大 12 時間かかることがあります。

# AMS Developer モードでのセキュリティとアクセスの管理
<a name="developer-mode-security-and-access"></a>

マルウェア対策保護は、AMS Advanced 変更管理プロセス外でプロビジョニングされたリソース、または変更管理を通じてプロビジョニングされ、デベロッパーモードのアクセス許可を使用してアカウントによって変更されたリソースについて、お客様の責任となります。AMS Advanced 変更管理によってプロビジョニングされていない Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへのアクセスは、フェデレーティッドアクセスを提供する代わりに、キーペアによって制御される場合があります。