• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。
# Change Manager を設定する
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
AWS Systems Manager のツールである Change Manager を使用して、AWS Organizations で構成されている組織全体、またはシングル AWS アカウントの変更を管理できます。
Change Manager を組織で使用している場合は、「[組織の Change Manager の設定 (管理アカウント)](change-manager-organization-setup.md)」トピックから始めて、「[Change Managerオプションとベストプラクティスの設定](change-manager-account-setup.md)」に進みます。
単一のアカウントで Change Manager を使用している場合は、直接「[Change Managerオプションとベストプラクティスの設定](change-manager-account-setup.md)」に進んでください。
**注記**
単一のアカウントで Change Manager を使用し始めて、そのアカウントが後ほど Change Manager が有効化されている組織単位に追加された場合は、単一のアカウントでの設定が無視されます。
**Topics**
+ [組織の Change Manager の設定 (管理アカウント)](change-manager-organization-setup.md)
+ [Change Managerオプションとベストプラクティスの設定](change-manager-account-setup.md)
+ [Change Manager のロールとアクセス許可の設定](change-manager-permissions.md)
+ [自動承認のランブックワークフローへのアクセスを制御する](change-manager-auto-approval-access.md)
# 組織の Change Manager の設定 (管理アカウント)
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
このトピックのタスクは、AWS Organizations で設定された組織で、AWS Systems Manager のツールである Change Manager を使用している場合に適用されます。単一の AWS アカウント のみで Change Manager を使用する場合は、「[Change Managerオプションとベストプラクティスの設定](change-manager-account-setup.md)」トピックに進んでください。
Organizations の*管理アカウント*として機能する AWS アカウント で、 内のこのセクションのタスクを実行します。管理アカウントおよびその他の Organizations の概念については、「[AWS Organizations Organizations の用語と概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)」を参照してください。
先に進む前に、Organizations を有効にし、お使いのアカウントを管理アカウントとして指定する必要がある場合は、*AWS Organizations ユーザーガイド*の「[組織の作成と管理](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)」を参照してください。
**注記**
以下の AWS リージョン ではこのセットアッププロセスを実行できません。
欧州 (ミラノ) (eu-south-1)
中東 (バーレーン) (me-south-1)
アフリカ (ケープタウン) (af-south-1)
アジアパシフィック (香港) (ap-east-1)
この手順では、確実に管理アカウントの別のリージョンで作業するようにしてください。
セットアップ手順の最中に、AWS Systems Manager のツールである Quick Setup で以下の主要タスクを実行します。
+ **タスク 1: 組織の委任管理者アカウントを登録する**
Change Managerを使用して実行される変更関連のタスクは、メンバーアカウントの 1 つで管理されます。このアカウントは、*委任管理者アカウント*として指定されるアカウントです。Change Manager に登録する委任管理者アカウントは、すべての Systems Manager 操作のための委任管理者アカウントになります。(他の AWS のサービスに対する委任管理者アカウントがある可能性があります)。Change Manager の管理者アカウント (管理アカウントとは異なります) は、変更テンプレート、変更リクエスト、およびそれぞれの承認を含めた、組織全体での変更アクティビティを管理します。委任管理者アカウントでは、Change Manager操作に対するその他の設定オプションも指定します。
**重要**
委任管理者アカウントは、Organizations でそれが割り当てられている組織単位 (OU) 唯一のメンバーである必要があります。
+ **タスク 2: Change Manager操作に使用する変更依頼者ロール、またはカスタム職務機能に対するランブックアクセスポリシーを定義して指定する**
Change Manager で変更リクエストを作成するには、メンバーアカウントのユーザーに AWS Identity and Access Management (IAM) アクセス許可を付与する必要があります。このアクセス許可により、ユーザーは、ユーザーが使用できるように選択したオートメーションランブックと変更テンプレートにのみアクセスできます。
**注記**
ユーザーが変更リクエストを作成するときは、まず変更テンプレートを選択します。この変更テンプレートでは複数のランブックを使用できますが、ユーザーは変更リクエストごとに 1 つのランブックしか選択できません。変更テンプレートは、ユーザーがリクエストに使用できるランブックを含めることができるように設定することもできます。
Change Manager は、必要な許可を付与するために*職務機能*という概念を使用します。この概念は IAM でも使用されています。IAM での[職務機能の AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)とは異なり、ユーザーは Change Manager 職務機能の名前と、それらの職務機能に対する IAM アクセス許可の両方を指定します。
職務機能を設定するときは、カスタムポリシーを作成して、変更管理タスクの実行に必要な許可のみを提供することをお勧めします。例として、定義した*職務機能*に基づいて、特定のランブック一式にユーザーを制限する許可を指定できます。
例えば、`DBAdmin` という名前の職務機能を作成できます。この職務機能では、`AWS-CreateDynamoDbBackup` や `AWSConfigRemediation-DeleteDynamoDbTable` などの Amazon DynamoDB データベースに関連するランブックに必要なアクセス許可のみを付与できます。
別の例として、`AWS-ConfigureS3BucketLogging` や `AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock` などの Amazon Simple Storage Service (Amazon S3) バケットに関連するランブックの使用に必要な許可のみを一部のユーザーに付与することもできます。
Change Manager のための Quick Setup の設定プロセスは、作成する管理者ロールへの適用に利用できる完全な Systems Manager 管理者権限のセットも作成します。
デプロイする各Change ManagerのQuick Setup設定は、選択した組織単位でChange Managerテンプレートとオートメーションランブックを実行する許可を持つ委任管理者アカウントに職務機能を作成します。Change Manager の Quick Setup 設定は最大で 15 個作成できます。
+ **タスク 3: Change Managerで使用する組織内のメンバーアカウントを選択する**
Change Manager は、Organizations でセットアップされているすべての組織単位、およびそれらが運用されているすべての AWS リージョン 内のすべてのメンバーアカウントで使用できます。必要に応じて、Change Managerを一部の組織単位のみで使用することもできます。
**重要**
この手順を開始する前に、手順にあるステップに目を通して、選択する設定と、付与する許可を理解しておくことを強くお勧めします。特に、作成するカスタム職務機能と、各職務機能に割り当てる許可を計画しておくようにしてください。そうすることによって、この後で作成する職務機能ポリシーを個々のユーザー、ユーザーグループ、または IAM ロールにアタッチするときに、それらのユーザーとグループを対象とする許可のみが付与されることを確実にすることができます。
ベストプラクティスとして、まず、AWS アカウント 管理者のログイン情報を使用して、委任された管理者アカウントを設定します。その後、変更テンプレートを作成し、それぞれが使用するランブックを特定した後、職務機能とそのアクセス権限を設定します。
組織で使用する Change Manager を設定するには、Systems Manager コンソールの Quick Setup エリアで次のタスクを実行します。
このタスクは、組織用に作成する職務機能ごとに繰り返し実行します。作成する各職務機能には、異なる一連の組織単位に対する許可を設定することができます。
**Organizations の管理アカウントで Change Manager の組織を設定するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Quick Setup]** を選択します。
1. **Change Manager** カードで **[Create]** (作成) を選択します。
1. [**Delegated administrator account (委任管理者アカウント)**] に、Change Manager の変更テンプレート、変更リクエスト、およびランブックワークフローの管理に使用する の AWS アカウント の ID を入力します。
以前に Systems Manager 用の委任管理者アカウントを指定した場合は、このフィールドにその ID が既に入力されています。
**重要**
委任管理者アカウントは、Organizations でそれが割り当てられている組織単位 (OU) 唯一のメンバーである必要があります。
登録した委任管理者アカウントが後ほどそのロールから登録解除された場合は、システムが、解除と当時に Systems Manager 操作を管理するための許可を削除します。Quick Setupに戻って別の委任管理者アカウントを指定し、すべての職務機能と許可を再度指定する必要があることに留意してください。
組織全体で Change Manager を使用する場合は、常に委任管理者アカウントから変更を行うことをお勧めします。組織内の他のアカウントから変更を行うことはできますが、それらの変更は、委任管理者アカウントで報告されず、表示することもできません。
1. [**Permissions to request and make changes**] (変更をリクエストして実行する許可) セクションで、以下を実行します。
**注記**
作成するデプロイメント設定は、それぞれ 1 つの職務機能のみに対する許可ポリシーを提供します。操作で使用する変更テンプレートを作成したら、後で Quick Setup に戻って、さらにジョブ機能を作成できます。
**管理者ロールを作成する** – すべての AWS アクションに対する IAM アクセス許可を持つ管理者職務機能については、以下を実行します。
**重要**
ユーザーに完全な管理者許可の付与は頻繁に行わず、ユーザーのロールに完全な Systems Manager アクセスが必要な場合のみにする必要があります。Systems Manager アクセスに関するセキュリティ面での考慮事項についての重要な情報は、「[AWS Systems Manager のためのアイデンティティおよびアクセス管理](security-iam.md)」および「[Systems Manager のセキュリティに関するベストプラクティス](security-best-practices.md)」を参照してください。
1. [**Job function**] (職務機能) には、このロールとそのアクセス許可を識別するための名前 (例: **MyAWSAdmin**) を入力します。
1. [**Role and permissions**] (ロールとアクセス許可) オプションには、[**Administrator permissions**] (管理者許可) を選択します。
**その他の職務機能を作成する** – 管理者ロール以外のロールを作成するには、以下を実行します。
1. [**Job function**] (職務機能) に、このロールを識別し、その許可を示す名前を入力します。選択する名前は、`DBAdmin` または `S3Admin` など、許可を提供するランブックの範囲を表している必要があります。
1. [**Role and permissions**] (ロールとアクセス許可) オプションには、[**Custom permissions**] (カスタム許可) を選択します。
1. [**Permissions policy editor**] (許可ポリシーエディタ) に、この職務機能に付与する IAM アクセス許可を JSON 形式で入力します。
**ヒント**
IAM ポリシーエディタを使用してポリシーを作成してから、ポリシー JSON を [**Permissions policy**] (アクセス許可ポリシー) フィールドに貼り付けることが推奨されます。
**サンプルポリシー: DynamoDB データベース管理**
例えば、職務機能がアクセスする必要がある Systems Manager ドキュメント (SSM ドキュメント) を使用するためのアクセス許可を提供するポリシーコンテンツから始めることができます。以下は、DynamoDB データベースに関連する AWS 管理の Automation ランブックのすべてと、米国東部 (オハイオ) リージョン (`us-east-2`) のサンプル AWS アカウント `123456789012` で作成された 2 つの変更テンプレートに対するアクセス権を付与するサンプルポリシーコンテンツです。
このポリシーには、Change Calendar での変更リクエストの作成に必要な [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html) オペレーションのアクセス許可も含まれます。
**注記**
この例は包括的ではありません。データベース、およびノードどのその他の AWS リソースを使用するには、追加のアクセス権限が必要になる場合があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:DescribeDocument",
"ssm:DescribeDocumentParameters",
"ssm:DescribeDocumentPermission",
"ssm:GetDocument",
"ssm:ListDocumentVersions",
"ssm:ModifyDocumentPermission",
"ssm:UpdateDocument",
"ssm:UpdateDocumentDefaultVersion"
],
"Resource": [
"arn:aws:ssm:us-east-1:*:document/AWS-CreateDynamoDbBackup",
"arn:aws:ssm:us-east-1:*:document/AWS-AWS-DeleteDynamoDbBackup",
"arn:aws:ssm:us-east-1:*:document/AWS-DeleteDynamoDbTableBackups",
"arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-DeleteDynamoDbTable",
"arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable",
"arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable",
"arn:aws:ssm:us-east-1:111122223333:document/MyFirstDBChangeTemplate",
"arn:aws:ssm:us-east-1:111122223333:document/MySecondDBChangeTemplate"
]
},
{
"Effect": "Allow",
"Action": "ssm:ListDocuments",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ssm:StartChangeRequestExecution",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
}
]
}
```
------
IAM ポリシーの詳細については、*IAM ユーザーガイド*の「[AWS リソースのアクセス管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)」および「[IAM ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
1. [**Targets**] (ターゲット) セクションで、作成している職務機能の許可を組織全体に付与するか、一部の組織単位のみに付与するかを選択します。
[**Entire organization**] (組織全体) を選択した場合は、ステップ 9 に進みます。
[**Custom**] (カスタム) を選択した場合は、ステップ 8 に進みます。
1. [**Target OUs**] (ターゲット OU) セクションで、Change Managerで使用する組織単位のチェックボックスをオンにします。
1. **[作成]** を選択します。
システムが組織のためのChange Managerのセットアップを完了したら、デプロイメントの概要が表示されます。この概要情報には、設定した職務機能用に作成されたロールの名前が含まれています。例えば、`AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole`。
**注記**
Quick Setupは、AWS CloudFormation StackSets を使用して設定をデプロイします。CloudFormation コンソールでは、完了したデプロイメント設定に関する情報を表示することもできます。StackSets の詳細については、*AWS CloudFormation ユーザーガイド*の「[AWS CloudFormation StackSets の操作](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)」を参照してください。
次のステップは、追加のChange Managerオプションの設定です。このタスクは、委任管理者アカウント、または Change Manager での使用のために有効化した組織単位内の任意のアカウントで実行することができます。このタスクでは、ユーザーアイデンティティ管理オプションの選択、変更テンプレートと変更リクエストをレビューして承認または拒否できるユーザーの指定、および組織に対して有効化するベストプラクティスオプションの選択などのオプションを設定します。詳細については、[Change Managerオプションとベストプラクティスの設定](change-manager-account-setup.md) を参照してください。
# Change Managerオプションとベストプラクティスの設定
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
このセクションのタスクは、組織全体で使用するか、シングル AWS アカウントで使用するかにかかわらず、AWS Systems Manager のツールである Change Manager を実行する必要があります。
組織で Change Manager を使用する場合は、委任管理者アカウント、または Change Manager での使用のために有効化した組織単位内の任意のアカウントで以下のタスクを実行することができます。
**Topics**
+ [タスク 1: Change Managerユーザー ID 管理とテンプレートレビューワーの設定](#cm-configure-account-task-1)
+ [タスク 2: Change Manager 変更凍結イベント承認者とベストプラクティスの設定](#cm-configure-account-task-2)
+ [Change Manager 通知用の Amazon SNS トピックの設定](change-manager-sns-setup.md)
## タスク 1: Change Managerユーザー ID 管理とテンプレートレビューワーの設定
この手順のタスクは、Change Managerに初めてにアクセスするときに実行します。これらの設定は、Change Manager に戻り **[Settings]** (設定) タブの **[Edit]** (編集) を選択することで、後ほど更新できます。
**Change Managerユーザー ID 管理とテンプレートレビューワーを設定する**
1. AWS マネジメントコンソール にサインインします。
組織のために Change Manager を使用している場合は、委任管理者アカウントの認証情報を使用してサインインします。ユーザーには、Change Manager 設定を更新するための AWS Identity and Access Management (IAM) アクセス許可が必要です。
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Manager]** を選択します。
1. サービスのホームページで、使用可能なオプションに応じて、次のいずれかを実行します。
+ AWS Organizations で Change Manager を使用する場合は、[**Set up delegated account**] (委任アカウントをセットアップする) をクリックします。
+ Change Manager を単一の AWS アカウント で使用する場合は、[**Change Manager のセットアップ**] をクリックします。
-または-
**サンプル変更リクエストの作成**、[**Skip**] を選択し、[**設定**] タブに進みます。
1. [**User identity management**] (ユーザー ID 管理) には、次のいずれかを選択します。
+ **AWS Identity and Access Management (IAM)** – 既存のユーザー、グループ、ロールを使用して、Change Manager でリクエストの作成と承認、その他のアクションを実行するユーザーを識別します。
+ **AWS IAM アイデンティティセンター (IAM Identity Center)** – [IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/) でアイデンティティの作成と管理を行うか、既存のアイデンティティソースに接続して、Change Manager でアクションを実行するユーザーを識別することができます。
1. [**Template reviewer notification**] (テンプレートレビューワーの通知) セクションで、新しい 変更テンプレートまたは変更テンプレートバージョンをレビューする準備が整ったことをテンプレートレビューワーに通知するために使用する Amazon Simple Notification Service (Amazon SNS) トピックを指定します。選択する Amazon SNS トピックが、テンプレートレビューワーに通知を送信するように設定されていることを確認します。
変更テンプレートのレビューワーに通知するための Amazon SNS トピックの作成と設定については、「[Change Manager 通知用の Amazon SNS トピックの設定](change-manager-sns-setup.md)」を参照してください。
1. テンプレートレビューワー通知の Amazon SNS トピックを指定するには、以下のいずれかを選択します。
+ **Enter an SNS Amazon Resource Name (ARN)**(SNS Amazon リソースネーム (ARN) を入力) – [**Topic ARN** (トピック ARN) には、既存の Amazon SNS トピックの ARN を入力します。このトピックは、組織のどのアカウントのものでも使用できます。
+ **Select an existing SNS topic (既存の SNS トピックを選択)** – **[Target notification topic] (ターゲット通知トピック)** には、現在の AWS アカウント にある既存の Amazon SNS トピックの ARN を選択します。(このオプションは、現在の AWS アカウント と AWS リージョン で Amazon SNS トピックをまだ作成していない場合は使用できません)。
**注記**
選択する Amazon SNS トピックは、送信する通知とその送信先のサブスクライバーを指定するように設定されている必要があります。Amazon SNアクセスポリシーは、Change Manager が通知を送信できるように、Systems Manager にアクセス許可も付与する必要があります。詳細については、[Change Manager 通知用の Amazon SNS トピックの設定](change-manager-sns-setup.md) を参照してください。
1. [**Add notification**] (通知を追加) をクリックします。
1. [**Change template reviewers**] (変更テンプレートレビューワー) セクションで、運用での使用に先立って新しい変更テンプレートまたは変更テンプレートバージョンをレビューする、組織またはアカウント内のユーザーを選択します。
変更テンプレートレビューワーは、他のユーザーが Change Manager ランブックワークフローでの使用のために提出したテンプレートの適合性とセキュリティを検証する責任を担います。
次の手順を実行して、変更テンプレートのレビューワーを選択します。
1. [**Add**] (追加) をクリックします。
1. 変更テンプレートレビューワーとして割り当てる各ユーザー、グループ、または IAM ロールの名前の横にあるチェックボックスをオンにします。
1. [**Add approvers**] (承認者を追加) をクリックします。
1. [**Submit**] (送信) をクリックします。
この初期セットアッププロセスを完了したら、[タスク 2: Change Manager 変更凍結イベント承認者とベストプラクティスの設定](#cm-configure-account-task-2) にあるステップに従って、追加のChange Manager設定とベストプラクティスの設定を行います。
## タスク 2: Change Manager 変更凍結イベント承認者とベストプラクティスの設定
[タスク 1: Change Managerユーザー ID 管理とテンプレートレビューワーの設定](#cm-configure-account-task-1) のステップを完了したら、*変更凍結イベント* 時の変更リクエストを処理する追加のレビューワーを指定し、Change Manager 操作に対して有効化する利用可能なベストプラクティスを指定できます。
変更凍結イベントとは、現在の変更カレンダーに制限が設定されていることを意味します (AWS Systems Manager Change Calendarのカレンダー状態は `CLOSED` です)。このような場合、変更リクエストを処理する通常の承認者に加えて、または、自動承認が可能なテンプレートを使用して変更リクエストを作成する場合、変更凍結承認者もこの変更リクエストを実行するためのアクセス許可を付与する必要があります。許可が付与されなければ、カレンダーの状態が再度 `OPEN` になるまで変更は処理されません。
**Change Managerの変更凍結イベント承認者とベストプラクティスを設定する**
1. ナビゲーションペインで、**Change Manager** を選択します。
1. [**Settings**] (設定) タブを選択し、[**Edit**] (編集) をクリックします。
1. [**Approvers for change freeze events**] (変更凍結イベントの承認者) セクションで、Change Calendarで使用されているカレンダーが CLOSED 状態の場合でも変更の実行を承認できる、組織またはアカウント内のユーザーを選択します。
**注記**
変更凍結レビューを有効にするには、**[Best practices] (ベストプラクティス)** にある [**Check Change Calendar for restricted change events**] (制限された変更イベントについて変更カレンダーをチェックする) オプションを有効にする必要があります。
以下を実行して変更凍結イベントの承認者を選択します。
1. [**Add**] (追加) をクリックします。
1. 変更凍結イベントの承認者として割り当てる各ユーザー、グループ、または IAM ロールの名前の横にあるチェックボックスをオンにします。
1. [**Add approvers**] (承認者を追加) をクリックします。
1. ページの下部にある [**Best practices**] (ベストプラクティス) セクションで、以下の各オプションに実施するベストプラクティスを有効にします。
+ オプション: [**Check Change Calendar for restricted change events**] (制限された変更イベントについて変更カレンダーをチェックする)
Change Manager が、スケジュールされたイベントによって変更がブロックされていないことを確認するためにChange Calendarのカレンダーをチェックすることを指定するには、まず [**Enabled**] (有効) チェックボックスをオンにしてから、[**Change Calendar**] (変更カレンダー) リストから制限されたイベントをチェックするカレンダーを選択します。
の詳細については、「Change Calendar」を参照してください。[AWS Systems Manager Change Calendar](systems-manager-change-calendar.md)
+ オプション: [**SNS topic for approvers for closed events**] (クローズドイベントの承認者のための SNS トピック)
1. 以下のいずれかを選択して、アカウント内の Amazon Simple Notification Service (Amazon SNS) トピックを指定します。これは、変更凍結イベント中に、承認者に通知を送信するために使用されます。([**Best practices**] (ベストプラクティス) の上にある [**Approvers for change freeze events**] (変更凍結イベントの承認者) セクションでも承認者を指定する必要があることに注意してください。)
+ **Enter an SNS Amazon Resource Name (ARN)**(SNS Amazon リソースネーム (ARN) を入力) – [**Topic ARN** (トピック ARN) には、既存の Amazon SNS トピックの ARN を入力します。このトピックは、組織のどのアカウントのものでも使用できます。
+ **Select an existing SNS topic (既存の SNS トピックを選択)** – **[Target notification topic] (ターゲット通知トピック)** には、現在の AWS アカウント にある既存の Amazon SNS トピックの ARN を選択します。(このオプションは、現在の AWS アカウント と AWS リージョン で Amazon SNS トピックをまだ作成していない場合は使用できません)。
**注記**
選択する Amazon SNS トピックは、送信する通知とその送信先のサブスクライバーを指定するように設定されている必要があります。Amazon SNアクセスポリシーは、Change Manager が通知を送信できるように、Systems Manager にアクセス許可も付与する必要があります。詳細については、[Change Manager 通知用の Amazon SNS トピックの設定](change-manager-sns-setup.md) を参照してください。
1. [**Add notification**] (通知を追加) をクリックします。
+ オプション: [**Require monitors for all templates**] (すべてのテンプレートにモニタリングを義務付ける)
組織またはアカウントのすべてのテンプレートに変更操作を監視するための Amazon CloudWatch アラームが指定されていることを確実にしたい場合は、[**Enabled**] (有効) チェックボックスをオンにします。
+ オプション: [**Require template review and approval before use**] (使用前のテンプレートのレビューと承認を義務付ける)
レビューと承認が完了したテンプレートに基づかずに変更リクエストが作成されたり、ランブックワークフローが実行されたりするこがないようにするには、[**Enabled**] (有効) チェックボックスをオンにします。
1. **[保存]** を選択します。
# Change Manager 通知用の Amazon SNS トピックの設定
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
AWS Systems Manager のツールである Change Manager を設定して、変更リクエストおよび変更テンプレートに関連するイベントについて、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信できます。トピックを追加するChange Managerイベントの通知を受け取るには、以下のタスクを完了します。
**Topics**
+ [タスク 1: Amazon SNS トピックを作成してサブスクライブする](#change-manager-sns-setup-create-topic)
+ [タスク 2: Amazon SNS アクセスポリシーを更新する](#change-manager-sns-setup-encryption-policy)
+ [タスク 3: (オプション) AWS Key Management Service アクセスポリシーを更新する](#change-manager-sns-setup-KMS-policy)
## タスク 1: Amazon SNS トピックを作成してサブスクライブする
まず、Amazon SNS トピックを作成し、サブスクライブする必要があります。詳細については、*Amazon Simple Notification Service デベロッパーガイド*の「[Amazon SNS トピックの作成](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)」および「[Amazon SNS トピックへのサブスクライブ](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)」を参照してください。
**注記**
通知を受け取るには、委任管理アカウントと同じ AWS リージョン と AWS アカウント にある Amazon SNS トピックの Amazon リソースネーム (ARN) を指定する必要があります。
## タスク 2: Amazon SNS アクセスポリシーを更新する
以下の手順を使用して Amazon SNS アクセスポリシーを更新し、Systems Manager がタスク 1 で作成した Amazon SNS トピックに Change Manager 通知を発行できるようにします。このタスクを完了しなければ、トピックを追加するイベントの通知を送信するアクセス許可が Change Manager に付与されません。
1. AWS マネジメントコンソール にサインインして Amazon SNS コンソール ([https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)) を開きます。
1. ナビゲーションペインで、[**トピック**] を選択します。
1. タスク 1 で作成したトピックを選択してから、[**Edit**] (編集) をクリックします。
1. [**アクセスポリシー**] を展開します。
1. 以下の `Sid` ブロックを既存のポリシーに追加して更新し、それぞれの*ユーザー入力プレースホルダー*をあなた自身の情報で置き換えます
```
{
"Sid": "Allow Change Manager to publish to this topic",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:region:account-id:topic-name",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"account-id"
]
}
}
}
```
既存の `Sid` ブロックの後にこのブロックを入力し、作成したトピックの該当する値で *region*、*account-id*、*topic-name* を作成したトピックの適切な値に置き換えます。
1. **[Save changes]** (変更の保存) をクリックします。
これで、トピックに追加するイベントタイプが発生すると、システムが Amazon SNS トピックに通知を送信するようになりました。
**重要**
AWS Key Management Service (AWS KMS) のサーバー側の暗号化キーを使用して Amazon SNS トピックを設定した場合は、タスク 3 を完了する必要があります。
## タスク 3: (オプション) AWS Key Management Service アクセスポリシーを更新する
Amazon SNS トピックに対して AWS Key Management Service (AWS KMS) サーバー側の暗号化を有効にした場合、トピックを設定したときに選択した AWS KMS key のアクセスポリシーも更新する必要があります。以下の手順を実行してアクセスポリシーを更新し、Systems Manager がタスク 1 で作成した Amazon SNS トピックに Change Manager の承認通知を発行できるようにします。
1. AWS KMS コンソール ([https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)) を開きます。
1. ナビゲーションペインで、[**Customer managed keys (カスタマー管理型のキー)**] を選択します。
1. トピックの作成時に選択したカスタマーマネージドキーの ID を選択します。
1. [**Key Policy**] (キーポリシー) セクションで、[**Switch to policy view**] (ポリシービューへの切り替え) を選択します。
1. [**Edit**] を選択します。
1. 既存のポリシーの既存の `Sid` ブロックのいずれかの後に、次の `Sid` ブロックを入力します。各*ユーザー入力プレースホルダー*を独自の情報に置き換えます。
```
{
"Sid": "Allow Change Manager to decrypt the key",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"account-id"
]
}
}
}
```
1. 次に、リソースポリシーの既存の `Sid` ブロックのいずれかの後に次の `Sid` ブロックを入力して、[サービス間の混乱した使節の問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)を防止します。
このブロックは、[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) および [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) グローバル条件コンテキストキーを使用して、Systems Manager がリソースに別のサービスを提供する許可を制限します。
各*ユーザー入力プレースホルダー*を独自の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:us-east-1:111122223333:topic-name",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ssm:us-east-1:111122223333:*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
1. **[Save changes]** (変更の保存) をクリックします。
# Change Manager のロールとアクセス許可の設定
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
デフォルトでは、Change Manager にはリソースでアクションを実行するアクセス許可がありません。AWS Identity and Access Management (IAM) サービスロールまたは*ロールの継承*を使用してアクセスを許可する必要があります。このロールでは、ユーザーに代わって Change Manager が承認済み変更リクエストで指定された Runbook ワークフローを安全に実行できます。このロールは、Change Manager に対して AWS Security Token Service (AWS STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 信頼を付与します。
これらのアクセス許可を組織内の複数のユーザーの代理として行動するために 1 つのロールに提供すれば、該当するユーザーは、そのアクセス許可の配列を自分で取得する必要がなくなります アクセス許可で許可されるアクションは、承認済みの操作のみに制限されます。
アカウントまたは組織のユーザーは、変更リクエストを作成するときに、このロールの継承を選択して変更オペレーションを実行できます。
Change Manager の新しいロールの継承を作成するか、必要なアクセス許可で既存のロールを更新できます。
Change Manager のサービスロールを作成する必要がある場合、次のタスクを完了します。
**Topics**
+ [タスク 1: Change Manager のロールの継承ポリシーを作成する](#change-manager-role-policy)
+ [タスク 2: Change Manager のロールの継承を作成する](#change-manager-role)
+ [タスク 3: `iam:PassRole` ポリシーを他のロールにアタッチする](#change-manager-passpolicy)
+ [タスク 4: 他の AWS のサービスを呼び出すためにロールの継承をインラインポリシーに追加する](#change-manager-role-add-inline-policy)
+ [タスク 5: Change Manager へのユーザーアクセスを設定する](#change-manager-passrole)
## タスク 1: Change Manager のロールの継承ポリシーを作成する
以下の手順を使用して、Change Manager ロールの継承にアタッチするポリシーを作成します。
**Change Manager のロールの継承ポリシーを作成するには**
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソール を開きます。
1. ナビゲーションペインで、**Policies** を選択し、**Create Policy** を選択します。
1. [**ポリシーの作成**] ページで [**JSON**] タブをクリックし、デフォルトのコンテンツを次のように置き換えます。これは次のステップで実際の Change Manager オペレーションで変更します。
**注記**
複数のアカウントとAWS リージョンを持つ組織ではなく、1 つの AWS アカウントで使用するポリシーを作成する場合、最初のステートメントブロックを省略できます。Change Manager を使用する単一のアカウントの場合、`iam:PassRole` アクセス許可は必要ありません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/AWS-SystemsManager-job-functionAdministrationRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:StartChangeRequestExecution"
],
"Resource": [
"arn:aws:ssm:us-east-1::document/template-name",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:ListOpsItemEvents",
"ssm:GetOpsItem",
"ssm:ListDocuments",
"ssm:DescribeOpsItems"
],
"Resource": "*"
}
]
}
```
------
1. `iam:PassRole` アクションに対して、`Resource` 値を更新して Runbook ワークフローを開始するアクセス許可を付与する組織に対して定義されているすべてのジョブ関数の ARN を含めます。
1. *region*、*account-id*、*template-name*、*delegated-admin-account-id*、*job-function* プレスホルダーを Change Manager オペレーションの値で置き換えます。
1. 2 番目の `Resource` ステートメントでリストを更新して、アクセス許可を付与するすべての変更テンプレートを含めます。`"Resource": "*"` を指定して組織のすべての変更テンプレートにアクセス許可を付与することもできます。
1. **[Next: Tags]** (次へ: タグ) を選択します。
1. (オプション) 1 つ以上のタグキーと値のペアを追加して、このポリシーのアクセスを整理、追跡、または制御します。
1. **[次へ: レビュー]** を選択します。
1. [**Review policy**] (ポリシーの確認) ページの [**Name**] (名前) ボックスに **MyChangeManagerAssumeRole** などの名前を入力し、説明を入力します。
1. [**ポリシーの作成**] を選択し、「[タスク 2: Change Manager のロールの継承を作成する](#change-manager-role)」に進みます。
## タスク 2: Change Manager のロールの継承を作成する
以下の手順を使用して、Change Manager の Change Manager のロールの継承 (サービスロールの一種) を作成します
**Change Manager のロールの継承ポリシーを作成するには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **ロール** を選択してから、**ロールを作成する** を選択します。
1. **[Select trusted entity]** (信頼できるエンティティを選択) で、次のように選択します。
1. **[Trusted entity type]** (信頼できるエンティティタイプ) で、**[AWS service]** ( のサービス) を選択します。
1. **[その他の AWS のサービス のユースケース]** で、**[Systems Manager]** を選択します
1. 以下のイメージに示されている、**[Systems Manager]** を選択します。
![\[ユースケースとして選択した Systems Manager のオプションを示すスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)
1. [**次へ**] を選択します。
1. [**アタッチされたアクセス許可ポリシー**] ページで、[タスク 1: Change Manager のロールの継承ポリシーを作成する](#change-manager-role-policy) で作成したロールの継承 (**MyChangeManagerAssumeRole** など) を検索します。
1. ロールの継承ポリシー名の横にあるチェックボックスを選択し、[**次へ: タグ**] を選択します。
1. **[Role name]** (ロール名) に、新しいインスタンスプロファイルの名前 (**MyChangeManagerAssumeRole** など) を入力します。
1. (オプション) **[Description]** (説明) で、このインスタンスロールの説明を更新します。
1. (オプション) 1 つ以上のタグキーと値のペアを追加して、このロールのアクセスを整理、追跡、または制御します。
1. **[次へ: レビュー]** を選択します。
1. (オプション) **[Tags]** (タグ) で、1 つ以上のタグキーと値のペアを追加し、このロールのアクセスを整理、追跡、制御して、**[Create role]** (ロールの作成) を選択します。**ロール**ページが再度表示されます。
1. **[Create role]** (ロールの作成) を選択します。**ロール**ページが再度表示されます。
1. **ロール** ページで作成したロールを選択して、**概要** ページを開きます。
## タスク 3: `iam:PassRole` ポリシーを他のロールにアタッチする
`iam:PassRole` ポリシーを IAM インスタンスプロファイルまたは IAM サービスロールにアタッチするには、次の手順を使用します。(Systems Manager サービスは IAM インスタンスプロファイルを使用して EC2 インスタンスと通信します。[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境の非 EC2 マネージドノードでは、代わりに IAM サービスロールが使用されます。)
`iam:PassRole` ポリシーをアタッチすることにより、Change Manager サービスは、ランブックワークフローを実行するときに他のサービスまたは Systems Manager ツールにロールの継承アクセス許可を渡すことができます。
**`iam:PassRole` ポリシーを IAM インスタンスプロファイルまたはサービスロールにアタッチするには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. 前のステップで作成した Change Manager のロールの継承 (**MyChangeManagerAssumeRole** など) を検索し、その名前を選択します。
1. ロールの継承の [**Summary**] (サマリー) ページで [**Permissions**] (アクセス許可) タブを選択します。
1. **[Add permissions, Create inline policy]** (アクセス許可の追加、インラインポリシーの作成) を選択します。
1. [**ポリシーの作成**] ページの [**Visual editor**] (ビジュアルエディタ) タブを選択します。
1. [**サービス**]、[**IAM**] の順に選択します。
1. [**Filter actions (フィルタアクション)**] テキストボックスに「**PassRole**」と入力し、[**PassRole**] オプションを選択します。
1. [**リソース**] を展開します。[**Specific**] (固有) が選択されていることを確認し、[**Add ARN**] (ARN の追加) を選択します。
1. [**ロールの ARN を指定する**] フィールドに、ロールの継承アクセス許可を渡す IAM インスタンスプロファイルロールまたは IAM サービスロールの ARN を入力します。システムによって、[**アカウント**] と [**Role name with path (ロール名とパス)**] フィールドが入力されます。
1. [**Add**] (追加) をクリックします。
1. [**Review policy** (ポリシーの確認)] を選択します。
1. **[Name]** (名前) に、このポリシーを識別する名前を入力し、**[Create policy]** (ポリシーの作成) を選択します。
**詳細情報**
+ [Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)
+ [ハイブリッドおよびマルチクラウド環境で Systems Manager に必要な IAM サービスロールを作成する](hybrid-multicloud-service-role.md)
## タスク 4: 他の AWS のサービスを呼び出すためにロールの継承をインラインポリシーに追加する
Change Manager のロールの継承を使用して変更リクエストが他の AWS のサービスを呼び出すとき、ロールの継承は、該当するサービスを呼び出すアクセス許可で設定されている必要があります。この要件は、変更リクエストで使用される `AWS-ConfigureS3BucketLogging`、`AWS-CreateDynamoDBBackup`、`AWS-RestartEC2Instance` ランブックなど、すべての AWS オートメーションランブック (AWS-\$1 runbooks) に適用されます。この要件は、他のサービスを呼び出すアクションを使用して他の AWS のサービスを呼び出すように作成したカスタムランブックにも適用されます。たとえば、`aws:executeAwsApi`、`aws:CreateStack`、または `aws:copyImage` などのアクションを使用する場合は、それらのサービスを呼び出すためのアクセス許可を持つサービスロールを設定する必要があります。ロールに IAM インラインポリシーを追加することで、他の AWS のサービスへのアクセス許可を有効にできます。
**インラインポリシーをロールの継承に追加して、他の AWS のサービス (IAM コンソール) を呼び出すには**
1. AWS マネジメントコンソール にサインインして、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. ナビゲーションペインで **Roles (ロール)** を選択します。
1. リストで、更新するロールの継承の名前 (`MyChangeManagerAssumeRole` など) を選択します。
1. **[アクセス許可]** タブを選択します。
1. **[Add permissions, Create inline policy]** (アクセス許可の追加、インラインポリシーの作成) を選択します。
1. **JSON** タブを選択します。
1. 呼び出す AWS のサービスの JSON ポリシードキュメントを入力します。JSON ポリシードキュメントの 2 つの例を以下に示します。
**Amazon S3 `PutObject` および `GetObject` の例**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
**Amazon EC2 `CreateSnapshot` および `DescribeSnapShots` の例**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshot",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"ec2:DescribeSnapshots",
"Resource":"*"
}
]
}
```
------
IAM ポリシー言語の詳細については、*IAM ユーザーガイド*の「[IAM JSON ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。
1. 完了したら、[**ポリシーの確認**] を選択します。構文エラーがある場合は、[Policy Validator (ポリシー検証)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) によってレポートされます。
1. **[Name]** (名前) に、作成するポリシーを識別する名前を入力します。ポリシーの **[Summary]** (概要) を参照して、ポリシーによって付与された許可を確認します。次に [**ポリシーの作成**] を選択して作業を保存します。
1. インラインポリシーを作成した後は、自動的にロールに埋め込まれます。
## タスク 5: Change Manager へのユーザーアクセスを設定する
ユーザー、グループ、ロールに管理者権限が割り当てられている場合は、Change Manager にアクセスできます。管理者権限がない場合は、管理者が `AmazonSSMFullAccess` マネージドポリシー (または同等のアクセス許可を付与するポリシー) を ユーザー、グループ、ロールに割り当てる必要があります。
Change Manager を使用するようにユーザーを設定するには、次の手順を使用します。選択したユーザーには、Change Manager を設定して実行するアクセス許可が付与されます。
組織で使用している アイデンティティアプリケーションに応じて、ユーザーアクセスを設定するために使用できる 3 つのオプションのいずれかを選択できます。ユーザーアクセスを設定するときに、以下を割り当て、または追加します。
1. Systems Manager へのアクセスを許可する `AmazonSSMFullAccess` ポリシーまたは同等のポリシーを割り当てます。
1. `iam:PassRole` ポリシーを割り当てます。
1. [タスク 2: Change Manager のロールの継承を作成する](#change-manager-role) の最後にコピーしたロールを継承する Change Manager の ARN を追加します。
アクセス権限を付与するにはユーザー、グループ、またはロールにアクセス許可を追加します。
+ AWS IAM アイデンティティセンター のユーザーとグループ:
アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
+ ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。
これで Change Manager に必要なロールの設定が完了しました。これで Change Manager オペレーションで Change Manager のロールの継承 ARN を使用できるようになりました。
# 自動承認のランブックワークフローへのアクセスを制御する
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
組織またはアカウント用に作成された各変更テンプレートでは、そのテンプレートから作成された変更リクエストを自動承認済変更リクエストとして実行できるかどうかを指定できます。つまり、レビューステップなしで自動的に実行できます (変更凍結イベントを除く)。
ただし、特定のユーザー、グループ、または AWS Identity and Access Management (IAM) ロールは、変更テンプレートで許可されている場合でも、自動承認の変更リクエストを実行しないようにした方がいいかもしれません。これを行うには、ユーザー、グループ、または IAM ロールに割り当てられる IAM ポリシーで、`StartChangeRequestExecution` オペレーションの `ssm:AutoApprove` 条件キーを使用します。
次のポリシーをインラインポリシーとして追加できます。このポリシーでは、条件を `false` に指定し、ユーザーが自動承認可能な変更リクエストを実行できないようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:StartChangeRequestExecution",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"ssm:AutoApprove": "false"
}
}
}
]
}
```
------
インラインポリシーの指定の詳細については、*IAM ユーザーガイド*で「[インラインポリシー](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies)」と「[IAM ID のアクセス許可の追加および削除](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」を参照してください。
Systems Manager ポリシーの条件キーの詳細については、「[Condition keys for Systems Manager](security_iam_service-with-iam.md#policy-conditions)」(Systems Manager の条件キー) を参照してください。