• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menyiapkan Change Manager untuk organisasi (akun manajemen)
<a name="change-manager-organization-setup"></a>

**Change Managerperubahan ketersediaan**  
AWS Systems ManagerChange Managertidak akan lagi terbuka untuk pelanggan baru mulai 7 November 2025. Jika Anda ingin menggunakannyaChange Manager, daftar sebelum tanggal tersebut. Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa. Untuk informasi selengkapnya, lihat [perubahan AWS Systems ManagerChange Manager ketersediaan](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Tugas dalam topik ini berlaku jika Anda menggunakanChange Manager, alat di AWS Systems Manager, dengan organisasi yang disiapkan AWS Organizations. Jika Anda ingin menggunakan Change Manager hanya dengan satu Akun AWS, lompat ke topik[Mengkonfigurasi Change Manager opsi dan praktik terbaik](change-manager-account-setup.md).

Lakukan tugas-tugas di bagian ini di Akun AWS yang berfungsi sebagai *akun manajemen* di Organizations. Untuk informasi tentang akun manajemen dan konsep Organizations lainnya, lihat [terminologi dan konsep AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).

Jika Anda perlu mengaktifkan Organizations dan menentukan akun Anda sebagai akun manajemen sebelum melanjutkan, lihat [Membuat dan mengelola organisasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)di *Panduan Pengguna AWS Organizations *. 

**catatan**  
Proses penyiapan ini tidak dapat dilakukan dalam hal berikut Wilayah AWS:  
Europe (Milan) (eu-south-1)
Middle East (Bahrain) (me-south-1)
Africa (Cape Town) (af-south-1)
Asia Pacific (Hong Kong) (ap-east-1)
Pastikan Anda bekerja di Wilayah yang berbeda di akun manajemen Anda untuk prosedur ini.

Selama prosedur penyiapan, Anda melakukan tugas-tugas utama berikut diQuick Setup, alat di AWS Systems Manager.
+ **Tugas 1: Daftarkan akun administrator yang didelegasikan untuk organisasi Anda**

  Tugas terkait perubahan yang dilakukan menggunakan Change Manager dikelola di salah satu akun anggota Anda, yang Anda tentukan sebagai akun administrator yang *didelegasikan*. Akun administrator yang didelegasikan yang Anda daftarkan Change Manager menjadi akun administrator yang didelegasikan untuk semua operasi Systems Manager Anda. (Anda mungkin telah mendelegasikan akun administrator untuk lainnya Layanan AWS). Akun administrator yang didelegasikanChange Manager, yang tidak sama dengan akun manajemen Anda, mengelola aktivitas perubahan di seluruh organisasi Anda, termasuk templat perubahan, permintaan perubahan, dan persetujuan untuk masing-masing. Di akun administrator yang didelegasikan, Anda juga menentukan opsi konfigurasi lain untuk Change Manager operasi Anda. 
**penting**  
Akun administrator yang didelegasikan harus menjadi satu-satunya anggota unit organisasi (OU) yang ditetapkan di Organizations.
+ **Tugas 2: Tentukan dan tentukan kebijakan akses buku runbook untuk peran pemohon perubahan, atau fungsi pekerjaan khusus, yang ingin Anda gunakan untuk operasi Change Manager**

  Untuk membuat permintaan perubahanChange Manager, pengguna di akun anggota Anda harus diberikan izin AWS Identity and Access Management (IAM) yang memungkinkan mereka mengakses hanya runbook Otomasi dan mengubah templat yang Anda pilih untuk disediakan bagi mereka. 
**catatan**  
Ketika pengguna membuat permintaan perubahan, mereka terlebih dahulu memilih templat perubahan. Templat perubahan ini mungkin membuat beberapa runbook tersedia, tetapi pengguna hanya dapat memilih satu runbook untuk setiap permintaan perubahan. Templat perubahan juga dapat dikonfigurasi untuk memungkinkan pengguna untuk menyertakan buku runbook yang tersedia dalam permintaan mereka.

  Untuk memberikan izin yang diperlukan, Change Manager gunakan konsep *fungsi pekerjaan*, yang juga digunakan oleh IAM. Namun, tidak seperti [kebijakan AWS terkelola untuk fungsi pekerjaan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di IAM, Anda menentukan nama fungsi Change Manager pekerjaan dan izin IAM untuk fungsi pekerjaan tersebut. 

  Saat Anda mengonfigurasi fungsi tugas, sebaiknya buat kebijakan kustom dan berikan hanya izin yang diperlukan untuk melakukan tugas manajemen perubahan. Misalnya, Anda dapat menentukan izin yang membatasi pengguna ke kumpulan runbook tertentu berdasarkan *fungsi pekerjaan* yang Anda tentukan. 

  Misalnya, Anda dapat membuat fungsi tugas dengan nama `DBAdmin`. Untuk fungsi tugas ini, Anda mungkin hanya memberikan izin yang diperlukan untuk runbook yang terkait dengan database Amazon DynamoDB, seperti `AWS-CreateDynamoDbBackup` dan `AWSConfigRemediation-DeleteDynamoDbTable`. 

  Sebagai contoh lain, Anda mungkin ingin memberikan beberapa pengguna izin yang diperlukan saja untuk bekerja dengan runbook yang terkait dengan bucket Amazon Simple Storage Service (Amazon S3) seperti `AWS-ConfigureS3BucketLogging` dan `AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock`. 

  Proses konfigurasi di Quick Setup for Change Manager juga membuat satu set izin administratif Systems Manager lengkap tersedia bagi Anda untuk diterapkan ke peran administratif yang Anda buat. 

  Setiap Change Manager Quick Setup konfigurasi yang Anda terapkan akan membuat fungsi pekerjaan di akun administrator yang didelegasikan dengan izin untuk menjalankan Change Manager templat dan runbook Otomasi di unit organisasi yang telah Anda pilih. Anda dapat membuat hingga 15 Quick Setup konfigurasi untukChange Manager. 
+ **Tugas 3: Pilih akun anggota mana di organisasi Anda yang akan digunakan Change Manager**

  Anda dapat menggunakan Change Manager dengan semua akun anggota di semua unit organisasi Anda yang diatur di Organizations, dan di semua akun Wilayah AWS tersebut beroperasi. Jika Anda mau, Anda dapat menggunakan hanya Change Manager dengan beberapa unit organisasi Anda.

**penting**  
Kami sangat menyarankan, sebelum memulai prosedur ini, bahwa Anda membaca langkah-langkahnya untuk memahami pilihan konfigurasi yang Anda buat dan izin yang Anda berikan. Secara khusus, rencanakan fungsi tugas khusus yang akan Anda buat dan izin yang Anda tetapkan untuk setiap fungsi tugas. Ini memastikan bahwa ketika nanti Anda melampirkan kebijakan fungsi pekerjaan yang Anda buat ke pengguna individu, grup pengguna, atau peran IAM, mereka hanya diberikan izin yang Anda inginkan untuk mereka miliki.  
Sebagai praktik terbaik, mulailah dengan menyiapkan akun administrator yang didelegasikan menggunakan login untuk Akun AWS administrator. Kemudian, konfigurasikan fungsi tugas dan izinnya setelah Anda membuat templat perubahan dan mengidentifikasi runbook yang digunakan masing-masing.

Change ManagerUntuk mengatur penggunaan dengan organisasi, lakukan tugas berikut di Quick Setup area konsol Systems Manager.

Ulangi tugas ini untuk setiap fungsi tugas yang ingin Anda buat untuk organisasi Anda. Setiap fungsi tugas yang Anda buat dapat memiliki izin untuk serangkaian unit organisasi yang berbeda.

**Untuk mengatur organisasi Change Manager di akun manajemen Organizations**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Quick Setup**.

1. Pada **Change Manager**kartu, pilih **Buat**.

1. Untuk **akun administrator yang didelegasikan**, masukkan ID yang ingin Akun AWS Anda gunakan untuk mengelola templat perubahan, permintaan perubahan, dan alur kerja buku runbook. Change Manager 

   Jika Anda sebelumnya telah menetapkan akun administrator yang didelegasikan untuk Systems Manager, ID akun tersebut sudah dilaporkan dalam bidang ini. 
**penting**  
Akun administrator yang didelegasikan harus menjadi satu-satunya anggota unit organisasi (OU) yang ditetapkan di Organizations.  
Jika akun administrator yang didelegasikan yang Anda daftarkan kemudian dibatalkan pendaftarannya dari peran itu, sistem akan menghapus izinnya untuk mengelola operasi Systems Manager secara bersamaan. Ingatlah bahwa Anda perlu kembali keQuick Setup, menunjuk akun administrator yang didelegasikan yang berbeda, dan tentukan semua fungsi dan izin pekerjaan lagi.  
Jika Anda menggunakan Change Manager di seluruh organisasi, sebaiknya selalu membuat perubahan dari akun administrator yang didelegasikan. Meskipun Anda dapat membuat perubahan dari akun lain di organisasi, perubahan tersebut tidak akan dilaporkan atau dapat dilihat dari akun administrator yang didelegasikan.

1. Di bagian **Izin untuk meminta dan membuat perubahan**, lakukan hal berikut.
**catatan**  
Setiap konfigurasi deployment yang Anda buat menyediakan kebijakan izin hanya untuk satu fungsi tugas. Anda dapat kembali ke Quick Setup nanti untuk membuat lebih banyak fungsi pekerjaan ketika Anda telah membuat template perubahan untuk digunakan dalam operasi Anda.

   **Untuk membuat peran administratif** — Untuk fungsi tugas administrator yang memiliki izin IAM untuk semua tindakan AWS , lakukan hal berikut.
**penting**  
Pemberian izin administratif penuh kepada pengguna harus dilakukan secara terbatas, dan hanya jika peran mereka memerlukan akses penuh Systems Manager. Untuk informasi penting tentang pertimbangan keamanan untuk akses Systems Manager, lihat [Identity and access management untuk AWS Systems Manager](security-iam.md) dan [Praktik terbaik keamanan untuk Systems Manager](security-best-practices.md).

   1. Untuk **Fungsi tugas**, masukkan nama untuk mengidentifikasi peran ini dan izinnya, seperti **My AWS Admin**.

   1. Untuk **Opsi peran dan izin**, pilih **Izin administrator**.

   **Untuk membuat fungsi tugas lainnya** – Untuk membuat peran non-administratif, lakukan hal berikut:

   1. Untuk **Fungsi tugas**, masukkan nama untuk mengidentifikasi peran ini dan menyarankan izinnya. Nama yang Anda pilih harus mewakili cakupan runbook yang akan Anda berikan izinnya, seperti `DBAdmin` atau `S3Admin`. 

   1. Untuk **Opsi peran dan izin**, pilih **Izin kustom**.

   1. Di **Editor kebijakan izin**, masukkan izin IAM, dalam format JSON, untuk memberikan fungsi tugas ini.
**Tip**  
Kami menyarankan Anda untuk menggunakan editor kebijakan IAM untuk membangun kebijakan Anda lalu menempelkan JSON kebijakan tersebut ke bidang **Kebijakan izin**.

**Contoh kebijakan: manajemen database DynamoDB**  
Misalnya, Anda mungkin mulai dengan konten kebijakan yang memberikan izin untuk bekerja dengan dokumen Systems Manager (dokumen SSM) yang perlu diakses oleh fungsi tugas. Berikut adalah contoh konten kebijakan yang memberikan akses ke semua runbook Otomasi AWS terkelola yang terkait dengan database DynamoDB dan dua templat perubahan yang telah dibuat dalam sampel Akun AWS `123456789012`, di Wilayah AS Timur (Ohio) (). `us-east-2` 

   Kebijakan ini juga mencakup izin untuk [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html)operasi, yang diperlukan untuk membuat permintaan perubahan diChange Calendar. 
**catatan**  
Contoh ini tidak komprehensif. Izin tambahan mungkin diperlukan untuk bekerja dengan AWS sumber daya lain, seperti database dan node.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:CreateDocument",
                   "ssm:DescribeDocument",
                   "ssm:DescribeDocumentParameters",
                   "ssm:DescribeDocumentPermission",
                   "ssm:GetDocument",
                   "ssm:ListDocumentVersions",
                   "ssm:ModifyDocumentPermission",
                   "ssm:UpdateDocument",
                   "ssm:UpdateDocumentDefaultVersion"
               ],
               "Resource": [
                   "arn:aws:ssm:us-east-1:*:document/AWS-CreateDynamoDbBackup",
                   "arn:aws:ssm:us-east-1:*:document/AWS-AWS-DeleteDynamoDbBackup",
                   "arn:aws:ssm:us-east-1:*:document/AWS-DeleteDynamoDbTableBackups",
                   "arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-DeleteDynamoDbTable",
                   "arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable",
                   "arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable",
                   "arn:aws:ssm:us-east-1:111122223333:document/MyFirstDBChangeTemplate",
                   "arn:aws:ssm:us-east-1:111122223333:document/MySecondDBChangeTemplate"
               ]
           },
           {
               "Effect": "Allow",
               "Action": "ssm:ListDocuments",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "ssm:StartChangeRequestExecution",
               "Resource": [
                   "arn:aws:ssm:us-east-1:111122223333:document/*",
                   "arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
               ]
           }
       ]
   }
   ```

------

   Untuk informasi selengkapnya tentang kebijakan IAM, lihat [Manajemen akses untuk sumber daya AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dan [Membuat kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) di *Panduan Pengguna IAM.*

1. Di bagian **Target**, pilih apakah akan memberikan izin untuk fungsi pekerjaan yang Anda buat ke seluruh organisasi atau hanya beberapa unit organisasi Anda.

   Jika Anda memilih **Seluruh organisasi**, lanjutkan ke langkah 9.

   Jika Anda memilih **Kustom**, lanjutkan ke langkah 8.

1. Di OUs bagian **Target**, pilih kotak centang unit organisasi yang akan digunakanChange Manager.

1. Pilih **Buat**.

Setelah sistem selesai menyiapkan Change Manager untuk organisasi Anda, ini akan menampilkan ringkasan penerapan Anda. Informasi ringkasan ini mencakup nama peran yang dibuat untuk fungsi pekerjaan yang Anda konfigurasikan. Misalnya, `AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole`.

**catatan**  
Quick Setupdigunakan AWS CloudFormation StackSets untuk menyebarkan konfigurasi Anda. Anda juga dapat melihat informasi tentang konfigurasi deployment yang telah selesai di konsol CloudFormation . Untuk selengkapnya StackSets, lihat [Bekerja dengan AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) di *Panduan AWS CloudFormation Pengguna*.

Langkah Anda selanjutnya adalah mengonfigurasi Change Manager opsi tambahan. Anda dapat menyelesaikan tugas ini baik di akun administrator yang didelegasikan atau akun apa pun di unit organisasi yang diizinkan untuk digunakan. Change Manager Anda mengonfigurasi opsi seperti memilih opsi manajemen identitas pengguna, menentukan pengguna mana yang dapat meninjau dan menyetujui atau menolak templat perubahan dan permintaan perubahan, dan memilih opsi praktik terbaik mana yang diizinkan untuk organisasi Anda. Untuk informasi, lihat [Mengkonfigurasi Change Manager opsi dan praktik terbaik](change-manager-account-setup.md).