本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AMS 高级开发者模式入门
<a name="developer-mode-implement"></a>

了解使用 AMS 高级开发者模式的各种 AMS 高级账户以及如何成功实现开发者模式。

**Topics**
+ [开始前的准备工作](developer-mode-faqs.md)
+ [开发者模式的先决条件](#developer-mode-implement-prerequisites)
+ [如何实现开发者模式](#developer-mode-implement-steps)
+ [开发者模式权限](#developer-mode-role)

# 开始使用 AMS 开发者模式之前
<a name="developer-mode-faqs"></a>

在实现开发者模式之前，你应该知道几件事。

AMS Advanced 无法管理在 AMS Advanced 变更管理流程之外通过变更请求创建的 DevMode 账户中的现有堆栈或资源 (RFCs)。但是，当账户处于开启状态时 DevMode，AMS Advanced 将继续使用管理通过 AMS Advanced 变更管理流程配置的 RFCs资源。

您不能先使用 DevMode 账户，然后再将其转换为 AMS Advanced 管理的应用程序账户。

## AMS 开发者模式的先决条件
<a name="developer-mode-implement-prerequisites"></a>

以下是实现开发者模式的先决条件：
+ 您必须是 AMS Advanced 客户，并且至少有一个已注册的 AMS Advanced Plus 或高级账户。
+ 您使用的任何账户都必须是 AMS Advanced Plus 或高级账户。
+ **多账户登录区 (MALZ)**：您必须使用`AWSManagedServicesDevelopmentRole`预定义的 AWS Identity and Access Management (IAM) 角色。你申请这个角色。下一节将介绍如何获取开发者模式权限。
+ **单账户登录区 (SALZ)**：您必须使用`customer_developer_role`预定义的 AWS Identity and Access Management (IAM) 角色。你申请这个角色。下一节将介绍如何获取开发者模式权限。

## 如何实现 AMS 高级开发者模式
<a name="developer-mode-implement-steps"></a>

您可以通过请求为符合条件的 AMS Advanced 账户配置预定义的 IAM 角色来实现开发者模式：
+ **MALZ**：`AWSManagedServicesDevelopmentRole`
+ **SALZ**：`customer_developer_role`

然后，您将该角色分配给联合网络中的相关用户。

AMS Advanced 建议您确保开发者模式的使用符合您的内部控制框架和标准，因为开发者模式会带来两个变革向量：AMS Advanced 管理的资源的 AMS Advanced 变更管理以及针对您（作为我们的客户）管理的资源的客户管理角色联合。虽然 AMS Advanced 流程仍然符合我们的声明，但可能需要更新客户流程和控制框架。

**在您的 AMS 高级账户中实现开发者模式**

1. 确认您要在开发者模式下使用的账户符合中列出的要求[AMS 开发者模式的先决条件](#developer-mode-implement-prerequisites)。

1. 使用变更类型 (CT) 管理 \$1 托管账户 \$1 开发者模式 \$1 启用（托管自动化）提交变更请求 (RFC)。有关如何使用此 CT 的示例，请参阅[开发者模式 \$1 启用（托管自动化）](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-developer-mode-enable-review-required.html)。

   处理 CT 后，将在请求的账户中配置预定义的 IAM 角色（`AWSManagedServicesDevelopmentRole`对`customer_developer_role`于 **M** **ALZ，对于 SALZ**）。

1. 使用您的内部联合流程为需要开发者模式访问权限的用户分配相应的角色。

   AMS Advanced 建议您限制访问权限，以防止不必要或未经批准地配置或更改资源。

## AMS 高级开发者模式权限
<a name="developer-mode-role"></a>

预定义角色（适用`AWSManagedServicesDevelopmentRole`于 **MALZ**，`customer_developer_role`对于 **SALZ**）授予在 AMS 高级 VPC 中创建应用程序基础设施资源的权限，包括 IAM 角色，同时限制访问由 AMS Advanced 运营的*共享服务*组件（例如，管理主机、域控制器、趋势科技 EPS、堡垒和不支持的 AWS 服务）。该角色还限制对以下内容的访问 AWS 服务：Amazon GuardDuty、 AWS Organizations AWS Directory Service APIs、和 AMS Advanced 日志。

虽然该角色允许您创建其他 IAM 角色，但开发人员模式访问权限中包含的相同权限限制也适用于由创建的任何 IAM 角色`AWSManagedServicesDevelopmentRole`。