• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 设置 Change Manager
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
您可以使用 Change Manager(AWS Systems Manager 中的一项工具)来管理对整个组织的更改(按照 AWS Organizations 中的配置)或对单个 AWS 账户的更改。
如果您将 Change Manager 用于组织,请从主题 [为组织设置 Change Manager(管理账户)](change-manager-organization-setup.md) 开始,然后继续阅读 [配置 Change Manager 选项和最佳实践](change-manager-account-setup.md)。
如果您将 Change Manager 用于单个账户,则请直接阅读 [配置 Change Manager 选项和最佳实践](change-manager-account-setup.md)。
**注意**
如果您首先将 Change Manager 用于某一单个账户,而后来又将该账户添加到允许 Change Manager 的组织单位,则您的单个账户设置将被忽略。
**Topics**
+ [为组织设置 Change Manager(管理账户)](change-manager-organization-setup.md)
+ [配置 Change Manager 选项和最佳实践](change-manager-account-setup.md)
+ [为 Change Manager 配置角色和权限](change-manager-permissions.md)
+ [控制对自动批准运行手册工作流的访问](change-manager-auto-approval-access.md)
# 为组织设置 Change Manager(管理账户)
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
如果要将 Change Manager(AWS Systems Manager 中的一项工具)用于在 AWS Organizations 中设置的组织,则本主题中的任务适用。如果您仅要将 Change Manager 用于单个 AWS 账户,则请跳至主题 [配置 Change Manager 选项和最佳实践](change-manager-account-setup.md)。
在充当 Organizations 内*管理账户*的 AWS 账户 中执行本节中的任务。有关管理账户和其他 Organizations 概念的信息,请参阅 [AWS Organizations 术语和概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)。
如果您需要打开 Organizations 并在继续操作之前将您的账户指定为管理账户,请参阅 *AWS Organizations 用户指南*中的[创建和管理组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)。
**注意**
此设置过程无法在以下 AWS 区域中执行:
欧洲(米兰)(eu-south-1)
中东(巴林)(me-south-1)
非洲(开普敦)(af-south-1)
亚太地区(香港)(ap-east-1)
对于此过程,请确保您在管理账户中的其他区域工作。
在设置过程中,您要在Quick Setup(AWS Systems Manager 中的一项工具)中执行以下主要任务。
+ **任务 1:为您的组织注册委托管理员账户**
使用 Change Manager 执行的、与更改相关的任务,在您的某一成员账户中进行管理,您将该账户指定为*委托管理员账户*。您为 Change Manager 注册的委托管理员账户,将成为您的所有 Systems Manager 操作的委托管理员账户。(您可以有多个用于其他 AWS 服务 的委托管理员账户。) 您的 Change Manager 委托管理员账户(与管理账户不同)可以管理整个组织的更改活动,包括更改模板、更改请求,以及对每个更改模板和更改请求的批准。在委托管理员账户中,您还可以为 Change Manager 操作指定其他配置选项。
**重要**
委托管理员账户必须是其在 Organizations 中分配到的组织单位 (OU) 的唯一成员。
+ **任务 2:为您要用于 Change Manager 操作的更改请求者角色或自定义工作职能定义和指定运行手册访问策略**
为在 Change Manager 中创建更改请求,则必须向您的成员账户中的用户授予 AWS Identity and Access Management (IAM) 权限,这些权限允许他们仅访问自动化运行手册,以及更改您选择提供给他们的模板。
**注意**
当用户创建更改请求时,他们首先需要选择更改模板。此更改模板可能会提供多个运行手册,但用户只能为每个更改请求选择一个运行手册。还可以将更改模板配置为允许用户在其请求中包含任何可用的运行手册。
要授予所需权限,Change Manager 使用了*工作职能*的概念,IAM 也使用了此概念。但是,与 IAM 中的 [AWS 工作职能托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)不同,您既可以指定 Change Manager 工作职能的名称,也可以为这些工作职能指定 IAM 权限。
在配置工作职能时,我们建议创建自定义策略,并仅提供执行更改管理任务所需的权限。例如,您可以根据定义的*工作职能*指定权限,以限制用户访问特定的运行手册集。
例如,您可以创建名为 `DBAdmin` 的工作职能。对于此工作职能,您可以仅授予与 Amazon DynamoDB 数据库相关的运行手册所需的权限,例如 `AWS-CreateDynamoDbBackup` 和 `AWSConfigRemediation-DeleteDynamoDbTable`。
作为另一个示例,您可能希望仅授予某些用户使用与 Amazon Simple Storage Service (Amazon S3) 存储桶相关的运行手册所需的权限,例如 `AWS-ConfigureS3BucketLogging` 和 `AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock`。
Change Manager 的 Quick Setup 中的配置过程还会为您提供一组完整 Systems Manager 管理权限,以应用于您创建的管理角色。
您部署的每一项 Change Manager Quick Setup 配置,都会在您的委托管理员账户中创建一项工作职能,这些工作职能拥有在您选择的组织单位中运行 Change Manager 模板和自动化运行手册的权限。您最多可以为 Change Manager 创建 15 项 Quick Setup 配置。
+ **任务 3:选择您的组织中哪些成员账户能够使用 Change Manager**
您可以将 Change Manager 用于在 Organizations 中设置的所有组织单位内的所有成员账户,以及所有 AWS 区域(成员账户在其中进行操作)内的所有成员账户。如果愿意,您可以改为仅将 Change Manager 用于您的某些组织单位。
**重要**
在开始此过程之前,我们强烈建议您认真阅读其步骤,以了解您所做的配置选择和所授予的权限。特别是应规划您要创建的自定义工作职能,以及您分配给各项工作职能的权限。这可确保稍后将您创建的工作职能策略附加到各个用户、用户组或 IAM 角色时,仅会向他们授予您希望他们拥有的权限。
作为最佳时间,首先使用 AWS 账户 管理员登录来设置委托管理员账户。然后,在创建更改模板并确定每个更改模板使用的运行手册之后,配置工作职能及其权限。
要设置 Change Manager 以便用于组织,请在 Systems Manager 控制台的 Quick Setup 区域中执行以下任务。
对于要为您的组织创建的每个工作职能,均应重复此任务。您创建的每项工作职能均可拥有针对一组不同组织单位的权限。
**在 Organizations 管理账户中为 Change Manager 设置组织**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Quick Setup**。
1. 在 **Change Manager** 选项卡上,选择 **Create**(创建)。
1. 对于 **Delegated administrator account (委托管理员账户)**,输入要用于在 Change Manager 中管理更改模板、更改请求和运行手册工作流的 AWS 账户 的 ID。
如果您之前已为 Systems Manager 指定了委托管理员账户,则此字段中已报告其 ID。
**重要**
委托管理员账户必须是其在 Organizations 中分配到的组织单位 (OU) 的唯一成员。
如果您注册的委托管理员账户后来从该角色注销,则系统会同时删除其管理 Systems Manager 操作的权限。请注意,您必须返回 Quick Setup,指定不同的委托管理员账户,然后再次指定所有工作职能和权限。
如果您在整个组织中使用 Change Manager,我们建议始终从委托管理员账户进行更改。虽然您可以从组织中的其他账户进行更改,但这些更改不会在委派管理员账户中报告,也无法从该账户查看。
1. 在 **Permissions to request and make changes (请求和进行更改的权限)** 部分中,执行以下操作。
**注意**
您创建的每一项部署配置仅会为一项工作功能提供权限策略。您可以在以后返回到 Quick Setup,在创建要在操作中使用的更改模板时创建更多工作职能。
**创建管理角色** – 对于拥有所有 AWS 操作的 IAM 权限的管理员工作职能,请执行以下操作。
**重要**
授予用户完整管理权限应该谨慎行事,并且仅当用户的角色需要完整的 Systems Manager 访问权限时才能执行。有关 Systems Manager 访问权限的安全注意事项的重要信息,请参阅 [对 AWS Systems Manager 进行身份和访问管理](security-iam.md) 和 [Systems Manager 的安全最佳实践](security-best-practices.md)。
1. 对于 **Job function (工作职能)**,请输入用于标识此角色及其权限的名称,例如 **MyAWSAdmin**。
1. 对于 **Role and permissions option (角色和权限选项)**,请选择 **Administrator permissions (管理员权限)**。
**创建其他工作职能** – 要创建非管理角色,请执行以下操作:
1. 对于 **Job function (工作职能)**,输入用于标识此角色的名称,并建议其权限。您选择的名称应能表示您将为其提供权限的运行手册的范围,例如 `DBAdmin` 或 `S3Admin`。
1. 对于 **Role and permissions option (角色和权限选项)**,请选择 **Custom permissions (自定义权限)**。
1. 在 **Permissions policy editor (权限策略编辑器)** 中,以 JSON 格式输入 IAM 权限,以向此工作职能授予这些权限。
**提示**
我们建议您使用 IAM policy 编辑器构建策略,然后将策略 JSON 粘贴到 **Permissions policy**(权限策略)字段中。
**示例策略:DynamoDB 数据库管理**
例如,您可以从策略内容开始,该内容为使用工作职能需要访问的 Systems Manager 文档(SSM 文档)提供权限。下面是一段示例策略内容,该内容将授予对与 DynamoDB 数据库相关的所有 AWS 托管式自动化运行手册和在位于美国东部(俄亥俄)区域 (`us-east-2`) 的示例 AWS 账户 `123456789012` 中创建的两个更改模板的访问权限。
该策略还包括对 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html) 操作的权限,在 Change Calendar 中创建更改请求时需要该权限。
**注意**
此示例并不全面。可能需要额外的权限才能使用其他 AWS 资源,例如数据库和节点。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:DescribeDocument",
"ssm:DescribeDocumentParameters",
"ssm:DescribeDocumentPermission",
"ssm:GetDocument",
"ssm:ListDocumentVersions",
"ssm:ModifyDocumentPermission",
"ssm:UpdateDocument",
"ssm:UpdateDocumentDefaultVersion"
],
"Resource": [
"arn:aws:ssm:us-east-1:*:document/AWS-CreateDynamoDbBackup",
"arn:aws:ssm:us-east-1:*:document/AWS-AWS-DeleteDynamoDbBackup",
"arn:aws:ssm:us-east-1:*:document/AWS-DeleteDynamoDbTableBackups",
"arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-DeleteDynamoDbTable",
"arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable",
"arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable",
"arn:aws:ssm:us-east-1:111122223333:document/MyFirstDBChangeTemplate",
"arn:aws:ssm:us-east-1:111122223333:document/MySecondDBChangeTemplate"
]
},
{
"Effect": "Allow",
"Action": "ssm:ListDocuments",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ssm:StartChangeRequestExecution",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
}
]
}
```
------
有关 IAM policy 的更多信息,请参阅《IAM 用户指南》中的 [AWS 资源的访问权限管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)和[创建 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
1. 在 **Targets (目标)** 部分中,请选择是将对您创建的工作职能的权限授予整个组织,还是仅授予部分组织单位。
如果选择 **Entire organization (整个组织)**,请继续执行步骤 9。
如果选择 **Custom (自定义)**,则请继续执行步骤 8。
1. 在 **Target OUs (目标 OU)** 部分中,选中要使用 Change Manager 的组织单位的复选框。
1. 选择 **Create(创建)**。
当系统为您的组织完成 Change Manager 设置后,它将显示您的部署摘要。此摘要信息包含为您配置的工作职能创建的角色的名称。例如 `AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole`。
**注意**
Quick Setup 将使用 AWS CloudFormation StackSets 来部署您的配置。您还可以查看有关 CloudFormation 控制台中已完成的部署配置的信息。有关 StackSets 的信息,请参阅 *AWS CloudFormation 用户指南*中的[使用 AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)。
下一步是配置其他 Change Manager 选项。您可以在您的委托管理员账户或您允许使用 Change Manager 的组织单位内的任何账户中完成此任务。您可以配置多个选项,例如选择用户身份管理选项、指定哪些用户可以审核及批准或拒绝更改模板和更改请求,以及选择允许组织使用哪些最佳实践选项。有关信息,请参阅[配置 Change Manager 选项和最佳实践](change-manager-account-setup.md)。
# 配置 Change Manager 选项和最佳实践
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
无论是在整个组织中还是在单个 AWS 账户中使用 Change Manager(AWS Systems Manager 中的一项工具),都必须执行本节中的任务。
如果您将 Change Manager 用于组织,可以在您的委托管理员账户或您允许使用 Change Manager 的组织单位内的任何账户中执行以下任务。
**Topics**
+ [任务 1:配置 Change Manager 用户身份管理和模板审核人员](#cm-configure-account-task-1)
+ [任务 2:配置 Change Manager 更改冻结事件审批人员和最佳实践](#cm-configure-account-task-2)
+ [为 Change Manager 通知配置 Amazon SNS 主题](change-manager-sns-setup.md)
## 任务 1:配置 Change Manager 用户身份管理和模板审核人员
在首次访问 Change Manager 时,请执行此过程中的该任务。您可以在以后更新这些配置设置,方法是返回到 Change Manager,然后选择 **Settings (设置)** 选项卡上的 **Edit (编辑)**。
**配置 Change Manager 用户身份管理和模板审核人员**
1. 登录到 AWS 管理控制台。
如果您将 Change Manager 用于组织,请使用您的委托管理员账户的凭证登录。用户必须拥有更新 Change Manager 设置的必要 AWS Identity and Access Management(IAM)权限。
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Change Manager**。
1. 在服务主页上,根据可用选项,执行以下操作之一:
+ 如果您将 Change Manager 用于 AWS Organizations,请选择 **Set up delegated account (设置委托账户)**。
+ 如果您将 Change Manager 用于单个 AWS 账户,请选择 **Set up Change Manager (设置 Change Manager)**。
- 或者 -
选择 **Create sample change request (创建示例更改请求)**、**Skip (跳过)**,然后选择 **Settings (设置)** 选项卡。
1. 对于 **User identity management (用户身份管理)**,请选择以下选项之一。
+ **AWS Identity and Access Management(IAM)**- 确定提出和批准请求以及使用您的现有用户、组和角色在 Change Manager 中执行其他操作的用户的身份。
+ **AWS IAM Identity Center(IAM Identity Center)** – 允许 [IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/) 创建和管理身份,或连接到您的现有身份源,以确定在 Change Manager 中执行操作的用户的身份。
1. 在 **Template reviewer notification**(模板审核人员通知)部分,指定 Amazon Simple Notification Service (Amazon SNS) 主题,这些主题将要用于通知模板审核人员新的更改模板或更改模板版本已准备就绪可供审核。请确保已将您选择的 Amazon SNS 主题配置为向您的模板审核人员发送通知。
有关为更改模板审核人员通知创建和配置 Amazon SNS 主题的信息,请参阅 [为 Change Manager 通知配置 Amazon SNS 主题](change-manager-sns-setup.md)。
1. 要为模板审核人员通知指定 Amazon SNS 主题,请选择以下选项之一:
+ **Enter an SNS Amazon Resource Name (ARN) (输入 SNS Amazon 资源名称 (ARN))** – 对于 **Topic ARN (主题 ARN)**,请输入现有 Amazon SNS 主题的 ARN。此主题可以位于您组织的任何账户中。
+ **Select an existing SNS topic(选择现有 SNS 主题)** – 对于 **Target notification topic(设定通知主题目标)**,选择您当前的 AWS 账户中现有 Amazon SNS 主题的 ARN。(如果您尚未在当前的 AWS 账户 和 AWS 区域 中创建任何 Amazon SNS 主题,则此选项不可用。)
**注意**
您选择的 Amazon SNS 主题必须被配置为指定它所发送的通知,以及接收这些通知的订阅者。其访问策略还必须向 Systems Manager 授予权限,以便 Change Manager 可以发送通知。有关信息,请参阅[为 Change Manager 通知配置 Amazon SNS 主题](change-manager-sns-setup.md)。
1. 选择 **Add notification(添加通知)**。
1. 在 **Change template reviewers (更改模板审核人员)** 部分中,在您的组织或账户选择用户审核新的更改模板或更改模板版本,然后才能在操作中使用它们。
更改模板审核人员负责验证其他用户提交的、要在 Change Manager 运行手册工作流中使用的模板的适用性和安全性。
可以通过执行以下操作选择更改模板审核人员:
1. 选择 **Add (添加)**。
1. 选中您要指定为更改模板审核人员的每个用户、组或 IAM 角色名称旁边的复选框。
1. 选择 **Add approvers (添加审批人员)**。
1. 选择 **Submit (提交)**。
完成此初始设置过程后,请按 [任务 2:配置 Change Manager 更改冻结事件审批人员和最佳实践](#cm-configure-account-task-2) 中的步骤操作,配置其他 Change Manager 设置和最佳实践。
## 任务 2:配置 Change Manager 更改冻结事件审批人员和最佳实践
在您完成 [任务 1:配置 Change Manager 用户身份管理和模板审核人员](#cm-configure-account-task-1) 中的步骤之后,可为*更改冻结事件*期间的更改请求指定额外的审核人员,还可指定您希望允许哪些可用的最佳实践用于 Change Manager 操作。
更改冻结事件意味着在当前更改日历中设置限制(AWS Systems Manager Change Calendar 中的日历状态为 `CLOSED`)。在这些情况下,除了更改请求的常规审批人员以外,或者如果更改请求是使用允许自动批准的模板创建的,更改冻结审批人员必须为此更改请求的运行授予权限。如果他们不这样做,则不会处理该更改,直到日历状态再次为 `OPEN` 时为止。
**配置 Change Manager 更改冻结事件审批人员和最佳实践**
1. 在导航窗格中,请选择 **Change Manager**。
1. 选择 **Settings (设置)** 选项卡,然后选择 **Edit (编辑)**。
1. 在 **Approvers for change freeze events (更改冻结事件的审批人员)** 部分中,选择您的组织或账户中可以批准更改即便在 Change Calendar 中使用的日历当前处于 CLOSED (已关闭) 状态也能运行的用户。
**注意**
要允许更改冻结审核,必须打开 **Best practices (最佳实践)** 中的 **Check Change Calendar for restricted change events (检查更改日历中的受限更改事件)** 选项。
通过执行以下操作,选择更改冻结事件的审批人员:
1. 选择**添加**。
1. 选中您要指定为更改冻结事件审批人员的每个用户、组或 IAM 角色名称旁边的复选框。
1. 选择 **Add approvers (添加审批人员)**。
1. 在 **Best practices (最佳实践)** 部分中,启用您要针对以下各个选项强制实施的最佳实践。
+ 选项:**Check Change Calendar for restricted change events (检查更改日历中的受限更改事件)**
要指定 Change Manager 检查 Change Calendar 中的日历,以确保更改不会已被计划的事件阻止,请首先选中 **Enabled (已启用)** 复选框,然后从 **Change Calendar (更改日历)** 列表中选择要检查受限事件的日历。
有关 Change Calendar 的更多信息,请参阅 [AWS Systems Manager Change Calendar](systems-manager-change-calendar.md)。
+ 选项:**SNS topic for approvers for closed events (用于已关闭事件的审批人员的 SNS 主题)**
1. 选择以下选项之一,在您的账户中指定 Amazon Simple Notification Service (Amazon SNS) 主题,用于在更改冻结事件期间向审批人员发送通知。(请注意,您还必须在 **Best practices (最佳实践)** 上方的 **Approvers for change freeze events (更改冻结事件的审批人员)** 部分中指定审批人员。)
+ **Enter an SNS Amazon Resource Name (ARN) (输入 SNS Amazon 资源名称 (ARN))** – 对于 **Topic ARN (主题 ARN)**,请输入现有 Amazon SNS 主题的 ARN。此主题可以位于您组织的任何账户中。
+ **Select an existing SNS topic(选择现有 SNS 主题)** – 对于 **Target notification topic(设定通知主题目标)**,选择您当前的 AWS 账户中现有 Amazon SNS 主题的 ARN。(如果您尚未在当前的 AWS 账户 和 AWS 区域 中创建任何 Amazon SNS 主题,则此选项不可用。)
**注意**
您选择的 Amazon SNS 主题必须被配置为指定它所发送的通知,以及接收这些通知的订阅者。其访问策略还必须向 Systems Manager 授予权限,以便 Change Manager 可以发送通知。有关信息,请参阅[为 Change Manager 通知配置 Amazon SNS 主题](change-manager-sns-setup.md)。
1. 选择 **Add notification(添加通知)**。
+ 选项:**Require monitors for all templates (所有模板都需要监控器)**
如果您希望确保您的组织或账户的所有模板都指定 Amazon CloudWatch 告警来监控您的更改操作,请选中 **Enabled**(已启用)复选框。
+ 选项:**Require template review and approval before use (使用前需要审核和批准模板)**
要确保在不基于已审核和已批准的模板的情况下,不创建任何更改请求,也不运行任何运行手册工作流,请选中 **Enabled (已启用)** 复选框。
1. 选择**保存**。
# 为 Change Manager 通知配置 Amazon SNS 主题
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
您可以将 Change Manager(AWS Systems Manager 中的一项工具)配置为针对与更改请求和更改模板有关的事件向 Amazon Simple Notification Service(Amazon SNS)主题发送通知。要接收针对您向其添加了主题的 Change Manager 事件的通知,请完成以下任务。
**Topics**
+ [任务 1:创建并订阅 Amazon SNS 主题](#change-manager-sns-setup-create-topic)
+ [任务 2:更新 Amazon SNS 访问策略](#change-manager-sns-setup-encryption-policy)
+ [任务 3:(可选)更新 AWS Key Management Service 访问策略](#change-manager-sns-setup-KMS-policy)
## 任务 1:创建并订阅 Amazon SNS 主题
首先,必须创建一个 Amazon SNS 主题并订阅此主题。有关更多信息,请参阅 *Amazon Simple Notification Service 开发人员指南*中的[创建 Amazon SNS 主题](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)和[订阅 Amazon SNS 主题](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)。
**注意**
要接收通知,您必须指定与委托管理员账户位于相同 AWS 区域 和 AWS 账户 的 Amazon SNS 主题的 Amazon Resource Name (ARN)。
## 任务 2:更新 Amazon SNS 访问策略
请使用以下过程更新 Amazon SNS 访问策略,以便 Systems Manager 能将 Change Manager 通知发布到您在“任务 1”中创建的 Amazon SNS 主题。如果不完成这项任务,Change Manager 将没有权限针对您为其添加主题的事件发送通知。
1. 访问 [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home),登录 AWS 管理控制台 并打开 Amazon SNS 控制台。
1. 在导航窗格中,选择 **Topics (主题)**。
1. 选择您在“任务 1”中创建的主题,然后选择 **Edit (编辑)**。
1. 展开**访问策略**。
1. 将以下 `Sid` 数据块添加并更新到现有策略中,并将每个*用户输入占位符*替换为您的信息。
```
{
"Sid": "Allow Change Manager to publish to this topic",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:region:account-id:topic-name",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"account-id"
]
}
}
}
```
在现有 `Sid` 数据块后输入此数据块,然后针对您创建的主题,将 *region*、*account-id* 和 *topic-name* 替换为适当的值。
1. 选择**保存更改**。
现在,当您添加到主题中的事件类型发生时,系统将向 Amazon SNS 主题发送通知。
**重要**
如果您已使用 AWS Key Management Service (AWS KMS) 服务器端加密密钥配置了 Amazon SNS 主题,则必须完成“任务 3”。
## 任务 3:(可选)更新 AWS Key Management Service 访问策略
如果您为 Amazon SNS 主题启用了 AWS Key Management Service (AWS KMS) 服务器端加密,则还必须更新您在配置该主题时选择的 AWS KMS key 的访问策略。请使用以下过程更新访问策略,以便 Systems Manager 能将 Change Manager 批准通知发布到您在“任务 1”中创建的 Amazon SNS 主题。
1. 访问 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms),打开 AWS KMS 控制台。
1. 在导航窗格中,选择 **Customer managed keys (客户托管密钥)**。
1. 选择您在创建主题时选择的客户托管密钥的 ID。
1. 在 **Key Policy (密钥策略)** 部分中,选择 **Switch to policy view (切换到策略视图)**。
1. 选择**编辑**。
1. 在现有策略中的现有 `Sid` 块之一之后输入以下 `Sid` 块。将每个*用户输入占位符*替换为您自己的信息。
```
{
"Sid": "Allow Change Manager to decrypt the key",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"account-id"
]
}
}
}
```
1. 现在,在资源策略中现有的 `Sid` 块之一之后输入以下 `Sid` 块,以帮助防止[跨服务混淆代理问题](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。
此块使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全局条件上下文键来限制 Systems Manager 向资源提供其他服务的权限。
将每个*用户输入占位符*替换为您自己的信息。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:us-east-1:111122223333:topic-name",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ssm:us-east-1:111122223333:*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
1. 选择**保存更改**。
# 为 Change Manager 配置角色和权限
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
默认情况下,Change Manager 没有对您的资源执行操作的权限。您必须使用 AWS Identity and Access Management (IAM) 服务角色或*担任角色*授予访问权限。该角色可以让 Change Manager 代表您安全地运行在批准的更改请求中指定的运行手册工作流。该角色向 AWS Security Token Service (AWS STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 授予对 Change Manager 的信任。
通过向角色提供这些权限以代表企业中的用户行事,用户本身不需要被授予该权限数组。权限允许的操作仅限于批准的操作。
当您的账户或企业中的用户创建更改请求时,他们可以选择此担任角色来执行更改操作。
您可以为 Change Manager 创建新的担任角色,也可以利用所需的权限更新现有角色。
如果您需要为 Change Manager 创建一个服务角色,请完成以下任务。
**Topics**
+ [任务 1:为 Change Manager 创建担任角色策略](#change-manager-role-policy)
+ [任务 2:为 Change Manager 创建担任角色](#change-manager-role)
+ [任务 3:将 `iam:PassRole` 策略附加到其他角色](#change-manager-passpolicy)
+ [任务 4:向担任角色添加内联策略以调用其他 AWS 服务](#change-manager-role-add-inline-policy)
+ [任务 5:配置用户对 Change Manager 的访问权限](#change-manager-passrole)
## 任务 1:为 Change Manager 创建担任角色策略
使用以下过程创建将附加到您的 Change Manager 担任角色的策略。
**为 Change Manager 创建担任角色策略**
1. 访问:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/),打开 IAM 控制台。
1. 在导航窗格中选择 **Policies**,然后选择 **Create Policy**。
1. 在 **Create policy**(创建策略)页面上,选择 **JSON** 选项卡,将默认内容替换为以下内容,您将在以下步骤中针对自己的 Change Manager 操作对其进行修改。
**注意**
如果要创建用于单个 AWS 账户 的策略,而不是具有多个账户和 AWS 区域 的企业,则可以省略第一个数据块。对于使用 Change Manager 的单个账户,不需要 `iam:PassRole` 权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/AWS-SystemsManager-job-functionAdministrationRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:StartChangeRequestExecution"
],
"Resource": [
"arn:aws:ssm:us-east-1::document/template-name",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:ListOpsItemEvents",
"ssm:GetOpsItem",
"ssm:ListDocuments",
"ssm:DescribeOpsItems"
],
"Resource": "*"
}
]
}
```
------
1. 对于 `iam:PassRole` 操作,更新 `Resource` 值以包括为您的企业定义的所有工作职能的 ARN,您希望对这些工作职能授予启动运行手册工作流的权限。
1. 将 *region*、*account-id*、*template-name*、*delegated-admin-account-id* 和 *job-function* 占位符替换为 Change Manager 操作的值。
1. 对于第二个 `Resource` 语句,修改列表以包括要授予权限的所有更改模板。或者,指定 `"Resource": "*"` 为企业中的所有更改模板授予权限。
1. 选择**下一步:标签**。
1. (可选)添加一个或多个标签键值对,以组织、跟踪或控制此策略的访问权限。
1. 选择**下一步:审核**。
1. 在 **Review policy**(查看策略)页面上的 **Name**(名称)框中输入一个名称,例如 **MyChangeManagerAssumeRole**,然后输入可选描述。
1. 选择 **Create policy**(创建策略),然后继续转至 [任务 2:为 Change Manager 创建担任角色](#change-manager-role)。
## 任务 2:为 Change Manager 创建担任角色
使用以下过程为 Change Manager 创建 Change Manager 担任角色(一种服务角色类型)。
**为 Change Manager 创建担任角色**
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在导航窗格中,选择**角色**,然后选择**创建角色**。
1. 对于 **Select trusted entity**(选择可信实体),完成以下选择:
1. 对于**可信实体类型**,选择 **AWS 服务**。
1. 对于**其他 AWS 服务 的应用场景**,选择 **Systems Manager**
1. 选择 **Systems Manager**,如下图所示。
![\[展示了将 Systems Manager 选为应用场景的选项屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)
1. 选择**下一步**。
1. 在 **Attached permissions policy**(附加的权限策略)页面上,搜索您在 [任务 1:为 Change Manager 创建担任角色策略](#change-manager-role-policy) 中创建的担任角色策略,比如 **MyChangeManagerAssumeRole**。
1. 选中担任角色策略名称旁边的复选框,然后选择 **Next: Tags**(下一步:标签)。
1. 对于**Role name**(角色名称),请输入新实例配置文件的名称,例如 **MyChangeManagerAssumeRole**。
1. (可选)对于 **Description**(描述),更新该实例角色的描述。
1. (可选)添加一个或多个标签键值对,以组织、跟踪或控制此角色的访问权限。
1. 选择**下一步:审核**。
1. (可选)对于 **Tags**(标签),添加一个或多个标签键值对,以组织、跟踪或控制此角色的访问,然后选择 **Create role**(创建角色)。系统将让您返回到 **角色** 页面。
1. 选择 **Create role (创建角色)**。系统将让您返回到 **角色** 页面。
1. 在**角色**页面中,选择刚刚创建的角色以打开**摘要**页面。
## 任务 3:将 `iam:PassRole` 策略附加到其他角色
使用以下过程将 `iam:PassRole` 策略附加到 IAM 实例配置文件或 IAM 服务角色。(Systems Manager 服务使用 IAM 实例配置文件与 EC2 实例进行通信。对于[混合和多云](operating-systems-and-machine-types.md#supported-machine-types)环境中的非 EC2 托管式节点,改用 IAM 服务角色。)
通过附加 `iam:PassRole` 策略,Change Manager 服务可以在运行运行手册工作流时将担任角色权限传递给其他服务或 Systems Manager 工具。
**将 `iam:PassRole` 策略附加到 IAM 实例配置文件或服务角色**
1. 通过以下网址打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**角色**。
1. 搜索您创建的 Change Manager 担任角色(如 **MyChangeManagerAssumeRole**),然后选择其名称。
1. 在担任角色的 **Summary**(摘要)页面中,选择 **Permissions**(权限)选项卡。
1. 选择 **Add permissions, Create inline policy**(添加权限、创建内联策略)。
1. 在 **Create policy (创建策略)** 页面上,选择 **Visual editor (可视化编辑器)** 选项卡。
1. 选择**服务**,然后选择 **IAM**。
1. 在 **Filter actions**(筛选操作)文本框中,输入 **PassRole**,然后选择 **PassRole** 选项。
1. 展开 **Resources**(资源)。确保已选择**特定**,然后选择**添加 ARN**。
1. 在 **Specify ARN for role**(为角色指定 ARN)字段中,输入要向其传递担任角色权限的 IAM 实例配置文件角色或 IAM 服务角色的 ARN。系统会自动填充**账户**和**具有路径的角色名称**字段。
1. 选择 **Add (添加)**。
1. 选择**查看策略**。
1. 对于 **Name**(名称),输入一个名称来标识此策略,然后选择 **Create policy**(创建策略)。
**更多信息**
+ [配置 Systems Manager 所需的实例权限](setup-instance-permissions.md)
+ [在混合和多云环境中创建 Systems Manager 所需的 IAM 服务角色](hybrid-multicloud-service-role.md)
## 任务 4:向担任角色添加内联策略以调用其他 AWS 服务
当更改请求使用 Change Manager 代入角色调用其他 AWS 服务时,必须为代入角色配置调用这些服务的权限。此要求适用于可能在更改请求中使用的所有 AWS 自动化运行手册(AWS-\$1 运行手册),例如 `AWS-ConfigureS3BucketLogging`、`AWS-CreateDynamoDBBackup` 和 `AWS-RestartEC2Instance` 运行手册。对于您创建的任何自定义运行手册,如果这些文档使用调用其他服务的操作来调用其他 AWS 服务,则此要求同样适用。例如,如果您使用 `aws:executeAwsApi`、`aws:CreateStack` 或 `aws:copyImage` 操作,则您必须配置具有权限的服务角色来调用这些服务。您可以通过将 IAM 内联策略添加到角色以向其他 AWS 服务授予权限。
**将内联策略添加到代入角色以调用其他 AWS 服务(IAM 控制台)**
1. 登录 AWS 管理控制台,然后通过以下网址打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**角色**。
1. 在列表中,选择要更新的担任角色的名称,例如 `MyChangeManagerAssumeRole`。
1. 选择**权限**选项卡。
1. 选择 **Add permissions, Create inline policy**(添加权限、创建内联策略)。
1. 选择 **JSON** 选项卡。
1. 输入您希望调用的 AWS 服务的 JSON 策略文档。以下是两个示例 JSON 策略文档。
**Simple Storage Service (Amazon S3) `PutObject` 和 `GetObject` 示例**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
**Amazon EC2 `CreateSnapshot` 和 `DescribeSnapShots` 示例**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshot",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"ec2:DescribeSnapshots",
"Resource":"*"
}
]
}
```
------
有关 IAM policy 语言的详细信息,请参阅《IAM 用户指南》中的 [IAM JSON 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
1. 完成后,选择**查看策略**。[策略验证程序](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)将报告任何语法错误。
1. 对于 **Name**(名称),输入一个名称来标识您创建的策略。查看策略**摘要**以查看您的策略授予的权限。然后,选择**创建策略**以保存您的工作。
1. 创建内联策略后,它会自动嵌入您的角色。
## 任务 5:配置用户对 Change Manager 的访问权限
如果已为您的用户、组或角色分配了管理员权限,则您有权访问 Change Manager。如果您没有管理员权限,则管理员必须为您的用户、组或角色分配 `AmazonSSMFullAccess` 托管策略或提供类似权限的策略。
使用以下过程配置用户,以使用 Change Manager。您选择的用户将拥有配置并运行 Change Manager 的权限。
根据您在组织中使用的身份应用程序,您可以选择三个可用选项中的任何一个来配置用户访问权限。在配置用户访问权限时,请分配或添加以下内容:
1. 分配提供访问 Systems Manager 权限的 `AmazonSSMFullAccess` 策略或类似策略。
1. 分配 `iam:PassRole` 策略。
1. 为您在 [任务 2:为 Change Manager 创建担任角色](#change-manager-role) 末尾复制的 Change Manager 担任角色添加 ARN。
要提供访问权限,请为您的用户、组或角色添加权限:
+ AWS IAM Identity Center 中的用户和群组:
创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供者在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色(联合身份验证)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
您已完成了为 Change Manager 配置所需的角色。您现在可以在 Change Manager 操作中使用 Change Manager 担任角色 ARN。
# 控制对自动批准运行手册工作流的访问
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
在为您的组织或账户创建的每个更改模板中,您可以指定从该模板创建的更改请求是否可以作为自动批准的更改请求运行,这意味着这些更改请求将在没有审核步骤的情况下自动运行(更改冻结事件除外)。
但是,您可能希望阻止某些用户、组或 AWS Identity and Access Management (IAM) 角色运行自动批准的更改请求,即使更改模板允许此操作也是如此。您可以将 `ssm:AutoApprove` 条件键用于分配给用户、组或 IAM 角色的 IAM policy 中的 `StartChangeRequestExecution` 操作,借此实现上述目标。
您可以将以下策略添加为内联策略,其中将该条件指定为 `false`,以阻止用户运行可自动批准的更改请求。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:StartChangeRequestExecution",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"ssm:AutoApprove": "false"
}
}
}
]
}
```
------
有关指定内联策略的信息,请参阅 *IAM 用户指南*中的[内联策略](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies)及[添加和删除 IAM 身份权限](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
有关 Systems Manager 策略条件键的更多信息,请参阅 [Systems Manager 的条件键](security_iam_service-with-iam.md#policy-conditions)。