自動承認のランブックワークフローへのアクセスを制御する - AWS Systems Manager

AWS Systems Manager Change Manager は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「AWS Systems Manager Change Manager の可用性の変更」を参照してください。

自動承認のランブックワークフローへのアクセスを制御する

Change Manager の可用性の変更

AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「AWS Systems Manager Change Manager の可用性の変更」を参照してください。

組織またはアカウント用に作成された各変更テンプレートでは、そのテンプレートから作成された変更リクエストを自動承認済変更リクエストとして実行できるかどうかを指定できます。つまり、レビューステップなしで自動的に実行できます (変更凍結イベントを除く)。

ただし、特定のユーザー、グループ、または AWS Identity and Access Management (IAM) ロールは、変更テンプレートで許可されている場合でも、自動承認の変更リクエストを実行しないようにした方がいいかもしれません。これを行うには、ユーザー、グループ、または IAM ロールに割り当てられる IAM ポリシーで、StartChangeRequestExecution オペレーションの ssm:AutoApprove 条件キーを使用します。

次のポリシーをインラインポリシーとして追加できます。このポリシーでは、条件を false に指定し、ユーザーが自動承認可能な変更リクエストを実行できないようにします。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
            {
            "Effect": "Allow",
            "Action": "ssm:StartChangeRequestExecution",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "ssm:AutoApprove": "false"
                }
            }
        }
    ]
}

インラインポリシーの指定の詳細については、IAM ユーザーガイドで「インラインポリシー」と「IAM ID のアクセス許可の追加および削除」を参照してください。

Systems Manager ポリシーの条件キーの詳細については、「Condition keys for Systems Manager」(Systems Manager の条件キー) を参照してください。