• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengkonfigurasi peran dan izin untuk Change Manager
<a name="change-manager-permissions"></a>

**Change Managerperubahan ketersediaan**  
AWS Systems ManagerChange Managertidak akan lagi terbuka untuk pelanggan baru mulai 7 November 2025. Jika Anda ingin menggunakannyaChange Manager, daftar sebelum tanggal tersebut. Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa. Untuk informasi selengkapnya, lihat [perubahan AWS Systems ManagerChange Manager ketersediaan](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Secara default, Change Manager tidak memiliki izin untuk melakukan tindakan pada sumber daya Anda. Anda harus memberikan akses dengan menggunakan peran layanan AWS Identity and Access Management (IAM), atau *mengambil peran*. Peran ini memungkinkan Change Manager untuk menjalankan alur kerja runbook dengan aman yang ditentukan dalam permintaan perubahan yang disetujui atas nama Anda. Peran tersebut memberikan AWS Security Token Service (AWS STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)kepercayaan kepadaChange Manager.

Dengan memberikan izin ini untuk peran untuk bertindak atas nama pengguna dalam suatu organisasi, pengguna tidak perlu diberikan array izin itu sendiri. Tindakan yang diizinkan oleh izin terbatas pada operasi yang disetujui saja.

Saat pengguna di akun atau organisasi Anda membuat permintaan perubahan, mereka dapat memilih peran ini untuk melakukan operasi perubahan.

Anda dapat membuat peran asumsi baru untuk Change Manager atau memperbarui peran yang ada dengan izin yang diperlukan.

Jika Anda perlu membuat peran layananChange Manager, selesaikan tugas-tugas berikut. 

**Topics**
+ [Tugas 1: Membuat kebijakan peran asumsi untuk Change Manager](#change-manager-role-policy)
+ [Tugas 2: Membuat peran asumsi untuk Change Manager](#change-manager-role)
+ [Tugas 3: Melampirkan `iam:PassRole` kebijakan ke peran lain](#change-manager-passpolicy)
+ [Tugas 4: Menambahkan kebijakan sebaris ke peran asumsi untuk memanggil yang lain Layanan AWS](#change-manager-role-add-inline-policy)
+ [Tugas 5: Mengkonfigurasi akses pengguna ke Change Manager](#change-manager-passrole)

## Tugas 1: Membuat kebijakan peran asumsi untuk Change Manager
<a name="change-manager-role-policy"></a>

Gunakan prosedur berikut untuk membuat kebijakan yang akan Anda lampirkan ke peran yang Anda Change Manager anggap.

**Untuk membuat kebijakan peran asumsi untuk Change Manager**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Pada panel navigasi, pilih **Kebijakan**, lalu pilih **Buat kebijakan**.

1. Pada halaman **Buat kebijakan**, pilih tab **JSON** dan ganti konten default dengan yang berikut ini, yang akan Anda modifikasi untuk Change Manager operasi Anda sendiri dalam langkah-langkah berikut.
**catatan**  
Jika Anda membuat kebijakan untuk digunakan dengan satu Akun AWS, dan bukan organisasi dengan beberapa akun dan Wilayah AWS, Anda dapat menghilangkan blok pernyataan pertama. `iam:PassRole`Izin tidak diperlukan dalam kasus penggunaan satu akunChange Manager.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "iam:PassRole",
               "Resource": "arn:aws:iam::111122223333:role/AWS-SystemsManager-job-functionAdministrationRole",
               "Condition": {
                   "StringEquals": {
                       "iam:PassedToService": "ssm.amazonaws.com"
                   }
               }
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:DescribeDocument",
                   "ssm:GetDocument",
                   "ssm:StartChangeRequestExecution"
               ],
               "Resource": [
                   "arn:aws:ssm:us-east-1::document/template-name",
                   "arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:ListOpsItemEvents",
                   "ssm:GetOpsItem",
                   "ssm:ListDocuments",
                   "ssm:DescribeOpsItems"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Untuk `iam:PassRole` tindakan, perbarui `Resource` nilai untuk menyertakan semua ARNs fungsi pekerjaan yang ditentukan untuk organisasi yang ingin Anda berikan izin untuk memulai alur kerja runbook.

1. Ganti*region*,*account-id*,, *template-name**delegated-admin-account-id*, dan *job-function* placeholder dengan nilai untuk operasi AndaChange Manager.

1. Untuk `Resource` pernyataan kedua, ubah daftar untuk menyertakan semua templat perubahan yang ingin Anda berikan izin. Atau, tentukan `"Resource": "*"` untuk memberikan izin untuk semua templat perubahan di organisasi Anda.

1. Pilih **Berikutnya: Tanda**.

1. (Opsional) Tambahkan satu atau beberapa pasangan nilai kunci tag untuk mengatur, melacak, atau mengontrol akses kebijakan ini. 

1. Pilih **Berikutnya: Tinjauan**.

1. Pada halaman **Kebijakan ulasan**, masukkan nama di kotak **Nama**, seperti**MyChangeManagerAssumeRole**, lalu masukkan deskripsi opsional.

1. Pilih **Buat kebijakan**, dan lanjutkan ke[Tugas 2: Membuat peran asumsi untuk Change Manager](#change-manager-role).

## Tugas 2: Membuat peran asumsi untuk Change Manager
<a name="change-manager-role"></a>

Gunakan prosedur berikut untuk membuat peran Change Manager asumsi, jenis peran layanan, untukChange Manager.

**Untuk membuat peran asumsi untuk Change Manager**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.

1. Untuk **Pilih entitas tepercaya**, buat pilihan berikut:

   1. Untuk **jenis entitas Tepercaya**, pilih **AWS layanan**

   1. **Untuk kasus Penggunaan lainnya Layanan AWS**, pilih **Systems Manager**

   1. Pilih **Systems Manager**, seperti yang ditunjukkan pada gambar berikut.  
![\[Screenshot yang menggambarkan opsi Systems Manager yang dipilih sebagai kasus penggunaan.\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)

1. Pilih **Berikutnya**.

1. Pada halaman **Kebijakan izin terlampir**, cari kebijakan peran asumsikan yang Anda buat[Tugas 1: Membuat kebijakan peran asumsi untuk Change Manager](#change-manager-role-policy), seperti**MyChangeManagerAssumeRole**. 

1. Pilih kotak centang di samping nama kebijakan peran asumsi, lalu pilih **Berikutnya: Tag**.

1. Untuk **nama Peran**, masukkan nama untuk profil instans baru Anda, seperti**MyChangeManagerAssumeRole**.

1. (Opsional) Untuk **Deskripsi**, perbarui deskripsi untuk peran instance ini.

1. (Opsional) Tambahkan satu atau beberapa pasangan nilai tag-key untuk mengatur, melacak, atau mengontrol akses untuk peran ini. 

1. Pilih **Berikutnya: Tinjauan**.

1. (Opsional) Untuk **Tag**, tambahkan satu atau beberapa pasangan nilai kunci tag untuk mengatur, melacak, atau mengontrol akses untuk peran ini, lalu pilih **Buat** peran. Sistem mengembalikan Anda ke halaman **Peran**.

1. Pilih **Buat peran**. Sistem mengembalikan Anda ke halaman **Peran**.

1. Pada halaman **Peran**, pilih peran yang baru Anda buat untuk membuka halaman **Ringkasan**. 

## Tugas 3: Melampirkan `iam:PassRole` kebijakan ke peran lain
<a name="change-manager-passpolicy"></a>

Gunakan prosedur berikut untuk melampirkan `iam:PassRole` kebijakan ke profil instans IAM atau peran layanan IAM. (Layanan Systems Manager menggunakan profil instans IAM untuk berkomunikasi dengan instans EC2. Untuk node yang dikelola non-EC2 di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types), peran layanan IAM digunakan sebagai gantinya.)

Dengan melampirkan `iam:PassRole` kebijakan, Change Manager layanan dapat meneruskan izin peran asumsi ke layanan lain atau alat Systems Manager saat menjalankan alur kerja runbook.

**Untuk melampirkan `iam:PassRole` kebijakan ke profil instans IAM atau peran layanan**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**.

1. Cari peran Change Manager asumsi yang Anda buat, seperti**MyChangeManagerAssumeRole**, dan pilih namanya.

1. Di halaman **Ringkasan** untuk peran asumsikan, pilih tab **Izin**.

1. Pilih **Tambahkan izin, Buat kebijakan sebaris**.

1. Di halaman **Buat kebijakan**, pilih tab **Visual editor**.

1. Pilih **Layanan**, lalu pilih **IAM**.

1. Di kotak teks **tindakan Filter****PassRole**, masukkan, lalu pilih **PassRole**opsi.

1. Perluas **Sumber Daya**. Verifikasi bahwa **Spesifik** dipilih, dan kemudian pilih **Tambahkan ARN**.

1. Di bidang **Tentukan ARN untuk peran**, masukkan ARN peran profil instans IAM atau peran layanan IAM yang ingin Anda lewati izin peran asumsi. Sistem mengisi **Akun** dan **Nama peran dengan bidang** jalur. 

1. Pilih **Tambahkan**.

1. Pilih **Tinjau kebijakan**.

1. Untuk **Nama**, masukkan nama untuk mengidentifikasi kebijakan ini, lalu pilih **Buat kebijakan**.

**Info lebih lanjut**  
+ [Konfigurasikan izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md)
+ [Buat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud](hybrid-multicloud-service-role.md)

## Tugas 4: Menambahkan kebijakan sebaris ke peran asumsi untuk memanggil yang lain Layanan AWS
<a name="change-manager-role-add-inline-policy"></a>

Ketika permintaan perubahan memanggil yang lain Layanan AWS dengan menggunakan peran Change Manager asumsi, peran asumsi harus dikonfigurasi dengan izin untuk memanggil layanan tersebut. Persyaratan ini berlaku untuk semua runbook AWS Otomasi (runbook AWS-\$1) yang mungkin digunakan dalam permintaan perubahan, seperti,, dan runbook. `AWS-ConfigureS3BucketLogging` `AWS-CreateDynamoDBBackup` `AWS-RestartEC2Instance` Persyaratan ini juga berlaku untuk setiap runbook kustom yang Anda buat yang memanggil orang lain Layanan AWS dengan menggunakan tindakan yang memanggil layanan lain. Misalnya, jika Anda menggunakan`aws:executeAwsApi`,`aws:CreateStack`, atau `aws:copyImage` tindakan, maka Anda harus mengonfigurasi peran layanan dengan izin untuk memanggil layanan tersebut. Anda dapat mengaktifkan izin ke orang lain Layanan AWS dengan menambahkan kebijakan inline IAM ke peran tersebut. 

**Untuk menambahkan kebijakan sebaris ke peran asumsi untuk memanggil other Layanan AWS (konsol IAM)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**.

1. Dalam daftar, pilih nama peran asumsi yang ingin Anda perbarui, seperti`MyChangeManagerAssumeRole`.

1. Pilih tab **Izin**.

1. Pilih **Tambahkan izin, Buat kebijakan sebaris**.

1. Pilih tab **JSON**.

1. Masukkan dokumen kebijakan JSON untuk yang ingin Layanan AWS Anda panggil. Berikut adalah dua contoh dokumen kebijakan JSON.

   **Amazon S3 `PutObject` dan contoh `GetObject`**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject",
                   "s3:GetObject"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
           }
       ]
   }
   ```

------

   **Amazon EC2 `CreateSnapshot` dan contoh `DescribeSnapShots`**

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Effect":"Allow",
            "Action":"ec2:CreateSnapshot",
            "Resource":"*"
         },
         {
            "Effect":"Allow",
            "Action":"ec2:DescribeSnapshots",
            "Resource":"*"
         }
      ]
   }
   ```

------

    Untuk detail tentang bahasa kebijakan IAM, lihat [referensi kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) di Panduan Pengguna *IAM*.

1. Setelah selesai, pilih **Tinjau kebijakan**. [Validator Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) melaporkan kesalahan sintaksis.

1. Untuk **Nama**, masukkan nama untuk mengidentifikasi kebijakan yang Anda buat. Ulas **Ringkasan** kebijakan untuk melihat izin yang diberikan oleh kebijakan Anda. Kemudian pilih **Buat kebijakan** untuk menyimpan pekerjaan Anda.

1. Setelah Anda membuat kebijakan yang selaras, ia akan secara otomatis tertanam di pengguna atau peran Anda.

## Tugas 5: Mengkonfigurasi akses pengguna ke Change Manager
<a name="change-manager-passrole"></a>

Jika pengguna, grup, atau peran Anda diberi izin administrator, maka Anda memiliki akses keChange Manager. Jika Anda tidak memiliki izin administrator, administrator harus menetapkan kebijakan `AmazonSSMFullAccess` terkelola, atau kebijakan yang memberikan izin yang sebanding, kepada pengguna, grup, atau peran Anda.

Gunakan prosedur berikut untuk mengonfigurasi pengguna yang akan digunakanChange Manager. Pengguna yang Anda pilih akan memiliki izin untuk mengkonfigurasi dan menjalankanChange Manager. 

Bergantung pada aplikasi identitas yang Anda gunakan di organisasi Anda, Anda dapat memilih salah satu dari tiga opsi yang tersedia untuk mengonfigurasi akses pengguna. Saat mengonfigurasi akses pengguna, tetapkan atau tambahkan yang berikut ini: 

1. Tetapkan `AmazonSSMFullAccess` kebijakan atau kebijakan serupa yang memberikan izin untuk mengakses Systems Manager.

1. Tetapkan `iam:PassRole` kebijakan.

1. Tambahkan ARN untuk peran Change Manager asumsi yang Anda salin di akhir. [Tugas 2: Membuat peran asumsi untuk Change Manager](#change-manager-role)

Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:

  Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:

  Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
  + Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
  + (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.

Anda telah selesai mengonfigurasi peran yang diperlukan untukChange Manager. Anda sekarang dapat menggunakan Change Manager peran ARN dalam operasi AndaChange Manager.