• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 配置 Change Manager 选项和最佳实践
<a name="change-manager-account-setup"></a>

**Change Manager 可用性变更**  
自 2025 年 11 月 7 日起，AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。

无论是在整个组织中还是在单个 AWS 账户中使用 Change Manager（AWS Systems Manager 中的一项工具），都必须执行本节中的任务。

如果您将 Change Manager 用于组织，可以在您的委托管理员账户或您允许使用 Change Manager 的组织单位内的任何账户中执行以下任务。

**Topics**
+ [

## 任务 1：配置 Change Manager 用户身份管理和模板审核人员
](#cm-configure-account-task-1)
+ [

## 任务 2：配置 Change Manager 更改冻结事件审批人员和最佳实践
](#cm-configure-account-task-2)
+ [

# 为 Change Manager 通知配置 Amazon SNS 主题
](change-manager-sns-setup.md)

## 任务 1：配置 Change Manager 用户身份管理和模板审核人员
<a name="cm-configure-account-task-1"></a>

在首次访问 Change Manager 时，请执行此过程中的该任务。您可以在以后更新这些配置设置，方法是返回到 Change Manager，然后选择 **Settings (设置)** 选项卡上的 **Edit (编辑)**。

**配置 Change Manager 用户身份管理和模板审核人员**

1. 登录到 AWS 管理控制台。

   如果您将 Change Manager 用于组织，请使用您的委托管理员账户的凭证登录。用户必须拥有更新 Change Manager 设置的必要 AWS Identity and Access Management（IAM）权限。

1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)，打开 AWS Systems Manager 控制台。

1. 在导航窗格中，请选择 **Change Manager**。

1. 在服务主页上，根据可用选项，执行以下操作之一：
   + 如果您将 Change Manager 用于 AWS Organizations，请选择 **Set up delegated account (设置委托账户)**。
   + 如果您将 Change Manager 用于单个 AWS 账户，请选择 **Set up Change Manager (设置 Change Manager)**。

     - 或者 -

     选择 **Create sample change request (创建示例更改请求)**、**Skip (跳过)**，然后选择 **Settings (设置)** 选项卡。

1. 对于 **User identity management (用户身份管理)**，请选择以下选项之一。
   + **AWS Identity and Access Management（IAM）**- 确定提出和批准请求以及使用您的现有用户、组和角色在 Change Manager 中执行其他操作的用户的身份。
   + **AWS IAM Identity Center（IAM Identity Center）** – 允许 [IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/) 创建和管理身份，或连接到您的现有身份源，以确定在 Change Manager 中执行操作的用户的身份。

1. 在 **Template reviewer notification**（模板审核人员通知）部分，指定 Amazon Simple Notification Service (Amazon SNS) 主题，这些主题将要用于通知模板审核人员新的更改模板或更改模板版本已准备就绪可供审核。请确保已将您选择的 Amazon SNS 主题配置为向您的模板审核人员发送通知。

   有关为更改模板审核人员通知创建和配置 Amazon SNS 主题的信息，请参阅 [为 Change Manager 通知配置 Amazon SNS 主题](change-manager-sns-setup.md)。

   1. 要为模板审核人员通知指定 Amazon SNS 主题，请选择以下选项之一：
      + **Enter an SNS Amazon Resource Name (ARN) (输入 SNS Amazon 资源名称 (ARN))** – 对于 **Topic ARN (主题 ARN)**，请输入现有 Amazon SNS 主题的 ARN。此主题可以位于您组织的任何账户中。
      + **Select an existing SNS topic（选择现有 SNS 主题）** – 对于 **Target notification topic（设定通知主题目标）**，选择您当前的 AWS 账户中现有 Amazon SNS 主题的 ARN。（如果您尚未在当前的 AWS 账户 和 AWS 区域 中创建任何 Amazon SNS 主题，则此选项不可用。）
**注意**  
您选择的 Amazon SNS 主题必须被配置为指定它所发送的通知，以及接收这些通知的订阅者。其访问策略还必须向 Systems Manager 授予权限，以便 Change Manager 可以发送通知。有关信息，请参阅[为 Change Manager 通知配置 Amazon SNS 主题](change-manager-sns-setup.md)。

   1. 选择 **Add notification（添加通知）**。

1. 在 **Change template reviewers (更改模板审核人员)** 部分中，在您的组织或账户选择用户审核新的更改模板或更改模板版本，然后才能在操作中使用它们。

   更改模板审核人员负责验证其他用户提交的、要在 Change Manager 运行手册工作流中使用的模板的适用性和安全性。

   可以通过执行以下操作选择更改模板审核人员：

   1. 选择 **Add (添加)**。

   1. 选中您要指定为更改模板审核人员的每个用户、组或 IAM 角色名称旁边的复选框。

   1. 选择 **Add approvers (添加审批人员)**。

1. 选择 **Submit (提交)**。

 完成此初始设置过程后，请按 [任务 2：配置 Change Manager 更改冻结事件审批人员和最佳实践](#cm-configure-account-task-2) 中的步骤操作，配置其他 Change Manager 设置和最佳实践。

## 任务 2：配置 Change Manager 更改冻结事件审批人员和最佳实践
<a name="cm-configure-account-task-2"></a>

在您完成 [任务 1：配置 Change Manager 用户身份管理和模板审核人员](#cm-configure-account-task-1) 中的步骤之后，可为*更改冻结事件*期间的更改请求指定额外的审核人员，还可指定您希望允许哪些可用的最佳实践用于 Change Manager 操作。

更改冻结事件意味着在当前更改日历中设置限制（AWS Systems Manager Change Calendar 中的日历状态为 `CLOSED`）。在这些情况下，除了更改请求的常规审批人员以外，或者如果更改请求是使用允许自动批准的模板创建的，更改冻结审批人员必须为此更改请求的运行授予权限。如果他们不这样做，则不会处理该更改，直到日历状态再次为 `OPEN` 时为止。

**配置 Change Manager 更改冻结事件审批人员和最佳实践**

1. 在导航窗格中，请选择 **Change Manager**。

1. 选择 **Settings (设置)** 选项卡，然后选择 **Edit (编辑)**。

1. 在 **Approvers for change freeze events (更改冻结事件的审批人员)** 部分中，选择您的组织或账户中可以批准更改即便在 Change Calendar 中使用的日历当前处于 CLOSED (已关闭) 状态也能运行的用户。
**注意**  
要允许更改冻结审核，必须打开 **Best practices (最佳实践)** 中的 **Check Change Calendar for restricted change events (检查更改日历中的受限更改事件)** 选项。

   通过执行以下操作，选择更改冻结事件的审批人员：

   1. 选择**添加**。

   1. 选中您要指定为更改冻结事件审批人员的每个用户、组或 IAM 角色名称旁边的复选框。

   1. 选择 **Add approvers (添加审批人员)**。

1. 在 **Best practices (最佳实践)** 部分中，启用您要针对以下各个选项强制实施的最佳实践。
   + 选项：**Check Change Calendar for restricted change events (检查更改日历中的受限更改事件)**

     要指定 Change Manager 检查 Change Calendar 中的日历，以确保更改不会已被计划的事件阻止，请首先选中 **Enabled (已启用)** 复选框，然后从 **Change Calendar (更改日历)** 列表中选择要检查受限事件的日历。

     有关 Change Calendar 的更多信息，请参阅 [AWS Systems Manager Change Calendar](systems-manager-change-calendar.md)。
   + 选项：**SNS topic for approvers for closed events (用于已关闭事件的审批人员的 SNS 主题)**

     1. 选择以下选项之一，在您的账户中指定 Amazon Simple Notification Service (Amazon SNS) 主题，用于在更改冻结事件期间向审批人员发送通知。（请注意，您还必须在 **Best practices (最佳实践)** 上方的 **Approvers for change freeze events (更改冻结事件的审批人员)** 部分中指定审批人员。）
        + **Enter an SNS Amazon Resource Name (ARN) (输入 SNS Amazon 资源名称 (ARN))** – 对于 **Topic ARN (主题 ARN)**，请输入现有 Amazon SNS 主题的 ARN。此主题可以位于您组织的任何账户中。
        + **Select an existing SNS topic（选择现有 SNS 主题）** – 对于 **Target notification topic（设定通知主题目标）**，选择您当前的 AWS 账户中现有 Amazon SNS 主题的 ARN。（如果您尚未在当前的 AWS 账户 和 AWS 区域 中创建任何 Amazon SNS 主题，则此选项不可用。）
**注意**  
您选择的 Amazon SNS 主题必须被配置为指定它所发送的通知，以及接收这些通知的订阅者。其访问策略还必须向 Systems Manager 授予权限，以便 Change Manager 可以发送通知。有关信息，请参阅[为 Change Manager 通知配置 Amazon SNS 主题](change-manager-sns-setup.md)。

     1. 选择 **Add notification（添加通知）**。
   + 选项：**Require monitors for all templates (所有模板都需要监控器)**

     如果您希望确保您的组织或账户的所有模板都指定 Amazon CloudWatch 告警来监控您的更改操作，请选中 **Enabled**（已启用）复选框。
   + 选项：**Require template review and approval before use (使用前需要审核和批准模板)**

     要确保在不基于已审核和已批准的模板的情况下，不创建任何更改请求，也不运行任何运行手册工作流，请选中 **Enabled (已启用)** 复选框。

1. 选择**保存**。

# 为 Change Manager 通知配置 Amazon SNS 主题
<a name="change-manager-sns-setup"></a>

**Change Manager 可用性变更**  
自 2025 年 11 月 7 日起，AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。

您可以将 Change Manager（AWS Systems Manager 中的一项工具）配置为针对与更改请求和更改模板有关的事件向 Amazon Simple Notification Service（Amazon SNS）主题发送通知。要接收针对您向其添加了主题的 Change Manager 事件的通知，请完成以下任务。

**Topics**
+ [

## 任务 1：创建并订阅 Amazon SNS 主题
](#change-manager-sns-setup-create-topic)
+ [

## 任务 2：更新 Amazon SNS 访问策略
](#change-manager-sns-setup-encryption-policy)
+ [

## 任务 3：（可选）更新 AWS Key Management Service 访问策略
](#change-manager-sns-setup-KMS-policy)

## 任务 1：创建并订阅 Amazon SNS 主题
<a name="change-manager-sns-setup-create-topic"></a>

首先，必须创建一个 Amazon SNS 主题并订阅此主题。有关更多信息，请参阅 *Amazon Simple Notification Service 开发人员指南*中的[创建 Amazon SNS 主题](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)和[订阅 Amazon SNS 主题](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)。

**注意**  
要接收通知，您必须指定与委托管理员账户位于相同 AWS 区域 和 AWS 账户 的 Amazon SNS 主题的 Amazon Resource Name (ARN)。

## 任务 2：更新 Amazon SNS 访问策略
<a name="change-manager-sns-setup-encryption-policy"></a>

请使用以下过程更新 Amazon SNS 访问策略，以便 Systems Manager 能将 Change Manager 通知发布到您在“任务 1”中创建的 Amazon SNS 主题。如果不完成这项任务，Change Manager 将没有权限针对您为其添加主题的事件发送通知。

1. 访问 [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)，登录 AWS 管理控制台 并打开 Amazon SNS 控制台。

1. 在导航窗格中，选择 **Topics (主题)**。

1. 选择您在“任务 1”中创建的主题，然后选择 **Edit (编辑)**。

1. 展开**访问策略**。

1. 将以下 `Sid` 数据块添加并更新到现有策略中，并将每个*用户输入占位符*替换为您的信息。

   ```
   {
       "Sid": "Allow Change Manager to publish to this topic",
       "Effect": "Allow",
       "Principal": {
           "Service": "ssm.amazonaws.com"
       },
       "Action": "sns:Publish",
       "Resource": "arn:aws:sns:region:account-id:topic-name",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": [
                   "account-id"
               ]
           }
       }
   }
   ```

   在现有 `Sid` 数据块后输入此数据块，然后针对您创建的主题，将 *region*、*account-id* 和 *topic-name* 替换为适当的值。

1. 选择**保存更改**。

现在，当您添加到主题中的事件类型发生时，系统将向 Amazon SNS 主题发送通知。

**重要**  
如果您已使用 AWS Key Management Service (AWS KMS) 服务器端加密密钥配置了 Amazon SNS 主题，则必须完成“任务 3”。

## 任务 3：（可选）更新 AWS Key Management Service 访问策略
<a name="change-manager-sns-setup-KMS-policy"></a>

如果您为 Amazon SNS 主题启用了 AWS Key Management Service (AWS KMS) 服务器端加密，则还必须更新您在配置该主题时选择的 AWS KMS key 的访问策略。请使用以下过程更新访问策略，以便 Systems Manager 能将 Change Manager 批准通知发布到您在“任务 1”中创建的 Amazon SNS 主题。

1. 访问 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)，打开 AWS KMS 控制台。

1. 在导航窗格中，选择 **Customer managed keys (客户托管密钥)**。

1. 选择您在创建主题时选择的客户托管密钥的 ID。

1. 在 **Key Policy (密钥策略)** 部分中，选择 **Switch to policy view (切换到策略视图)**。

1. 选择**编辑**。

1. 在现有策略中的现有 `Sid` 块之一之后输入以下 `Sid` 块。将每个*用户输入占位符*替换为您自己的信息。

   ```
   {
       "Sid": "Allow Change Manager to decrypt the key",
       "Effect": "Allow",
       "Principal": {
           "Service": "ssm.amazonaws.com"
       },
       "Action": [
           "kms:Decrypt",
           "kms:GenerateDataKey*"
       ],
       "Resource": "arn:aws:kms:region:account-id:key/key-id",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": [
                   "account-id"
               ]
           }
       }
   }
   ```

1. 现在，在资源策略中现有的 `Sid` 块之一之后输入以下 `Sid` 块，以帮助防止[跨服务混淆代理问题](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。

   此块使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全局条件上下文键来限制 Systems Manager 向资源提供其他服务的权限。

   将每个*用户输入占位符*替换为您自己的信息。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": [
                   "sns:Publish"
               ],
               "Resource": "arn:aws:sns:us-east-1:111122223333:topic-name",
               "Condition": {
                   "ArnLike": {
                       "aws:SourceArn": "arn:aws:ssm:us-east-1:111122223333:*"
                   },
                   "StringEquals": {
                       "aws:SourceAccount": "111122223333"
                   }
               }
           }
       ]
   }
   ```

------

1. 选择**保存更改**。