• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 使用 Change Manager
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
借助 Change Manager(AWS Systems Manager 中的一项工具),整个组织或单个 AWS 账户中的(已获必要权限)用户可以执行与更改相关的任务。Change Manager 任务如下:
+ 创建、审核和批准或拒绝更改模板。
更改模板是 Change Manager 中的一个配置设置集合,它定义了所需的批准、可用的运行手册和更改请求的通知选项等内容。
+ 创建、审核和批准或拒绝更改请求。
更改请求是 Change Manager 中的一个请求,旨在运行更新您的 AWS 或本地环境中一个或多个资源的自动化运行手册。更改请求是使用更改模板创建的。
+ 可以指定组织或账户中的哪些用户可以成为更改模板和更改请求的审核人员。
+ 可以编辑配置设置,例如如何在 Change Manager 中管理用户身份,以及在您的 Change Manager 操作中强制实施哪些可用的*最佳实践*选项。有关配置这些设置的信息,请参阅 [配置 Change Manager 选项和最佳实践](change-manager-account-setup.md)。
**Topics**
+ [使用更改模板](change-templates.md)
+ [使用更改请求](change-requests.md)
+ [审核更改请求详细信息、任务和时间表(控制台)](reviewing-changes.md)
+ [查看更改请求的聚合计数(命令行)](change-requests-review-aggregate-command-line.md)
# 使用更改模板
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
更改模板是 Change Manager 中的一个配置设置集合,它定义了所需的批准、可用的运行手册和更改请求的通知选项等内容。
**注意**
AWS 提供了一个示例 [Hello World](change-templates-aws-managed.md) 更改模板,您可使用该示例来试用 Change Manager(AWS Systems Manager 中的一项工具)。但是,您可以创建自己的更改模板,来定义您要允许对组织或账户中的资源进行的更改。
在运行手册工作流运行时进行的更改基于自动化运行手册的内容。在您创建的每个更改模板中,都可以包含一个或多个自动化运行手册,提出更改请求的用户可以从中选择这些运行手册,以便在更新过程中运行。您还可以创建允许请求者为更改请求选择任何可用的自动化运行手册的更改模板。
要创建更改模板,可以使用 **Create template (创建模板)** 控制台页面中的 **Builder (生成器)** 选项,来构建更改模板。或者,使用 **Editor (编辑器)** 选项,可以借助您要用于运行手册工作流的配置手动编写 JSON 或 YAML 内容。您还可以使用命令行工具创建更改模板,将该更改模板的 JSON 内容存储在外部文件中。
**Topics**
+ [试用 AWS 托管 `Hello World` 更改模板](change-templates-aws-managed.md)
+ [创建更改模板](change-templates-create.md)
+ [审核和批准或拒绝更改模板](change-templates-review.md)
+ [删除更改模板](change-templates-delete.md)
# 试用 AWS 托管 `Hello World` 更改模板
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
您可以使用示例更改模板 `AWS-HelloWorldChangeTemplate`(该模板使用示例 Automation 运行手册 `AWS-HelloWorld`),在完成 Change Manager(AWS Systems Manager 中的一项工具)的设置后,对审核和批准流程进行测试。此模板用于测试或验证已配置的权限、审批人员指定和批准流程。AWS 已经批准在您的组织或账户中使用此更改模板。但是,基于此更改模板的任何更改请求,仍然必须得到您的组织或账户中的审核人员的批准。
与此模板关联的运行手册工作流的结果,不会对资源进行更改,而是在“自动化”步骤的输出中打印一条消息。
**开始前的准备工作**
在开始之前,请确保您已完成以下任务:
+ 如果您使用 AWS Organizations 管理整个组织中的更改,请完成 [为组织设置 Change Manager(管理账户)](change-manager-organization-setup.md) 中描述的组织设置任务。
+ 按照 [配置 Change Manager 选项和最佳实践](change-manager-account-setup.md)中的描述,为您的委托管理员账户或单个账户配置 Change Manager。
**注意**
如果您在 Change Manager 设置中打开了最佳实践选项 **Require monitors for all templates (所有模板都需要监控器)**,请在测试 Hello World 更改模板时暂时关闭该选项。
**试用 AWS 托管 Hello World 更改模板**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Change Manager**。
1. 选择 **Create request (创建请求)**。
1. 选择名为 `AWS-HelloWorldChangeTemplate` 的更改模板,然后选择 **Next (下一步)**。
1. 对于 **Name (名称)**,请输入更改请求的名称,以便于识别其用途,例如 **MyChangeRequestTest**。
1. 有关创建更改请求的其余步骤,请参阅 [创建更改请求创建更改请求(控制台)](change-requests-create.md)。
**后续步骤**
有关批准更改请求的信息,请参阅 [审核和批准或拒绝更改请求](change-requests-review.md)。
要查看您的更改请求的状态和结果,请在 Change Manager 中的 **Requests (请求)** 选项卡上选择您的更改请求的名称。
# 创建更改模板
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
更改模板是 Change Manager 中的一个配置设置集合,它定义了所需的批准、可用的运行手册和更改请求的通知选项等内容。
您可以使用控制台(内含“生成器”和“编辑器”选项)或命令行工具,在 Change Manager(AWS Systems Manager 中的一项工具)中为操作创建更改模板。
**Topics**
+ [关于更改模板中的批准](cm-approvals-templates.md)
+ [使用 Builder (生成器) 创建更改模板](change-templates-custom-builder.md)
+ [使用 Editor (编辑器) 创建更改模板](change-templates-custom-editor.md)
+ [使用命令行工具创建更改模板](change-templates-tools.md)
# 关于更改模板中的批准
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
对于您创建的每个更改模板,您最多可以为通过该更改模板创建的更改请求指定五个批准*级别*。对于其中每个级别,您最多可以指定五个潜在*审批者*。审批者并不限于单个用户。您还可以将 IAM 组或 IAM 角色指定为单独的审批者。对于 IAM 组和 IAM 角色,属于该组或角色的一个或多个用户可以提供批准,以获得更改请求所需的批准总数。您还可以指定数量超过您的更改模板所需数量的审批者。
Change Manager 支持两种主要的批准方法:*逐级批准*和*逐行批准*。在某些情况下,也可以将这两种类型组合在一起。我们建议在您的 Change Manager 操作中仅使用逐级批准。
------
#### [ Per-level approvals ]
*推荐*。自 2023 年 1 月 23 日起,Change Manager 支持逐级批准。在此模型中,对于更改模板中的每个批准级别,您首先需要指定该级别需要多少次批准。然后,您需要为该级别至少指定对应数量的审批者,并且可以指定更多审批者。但只有您指定数量的逐级审批者才需要批准更改请求。例如,您可以指定五个审批者,但需要三次批准。
有关此批准类型的控制台视图和 JSON 示例,请参阅 [逐级批准配置示例](approval-type-samples.md#per-level-approvals)。
------
#### [ Per-line approvals ]
*支持向后兼容性*。原始版本的 Change Manager 仅支持逐行批准。在此模型中,为批准级别指定的每个审批者都以一个批准行来表示。每个审批者都必须批准一次更改请求,该更改请求才能在该级别获得批准。在 2023 年 1 月 23 日之前,这是唯一受支持的批准模型。在此日期之前创建的更改模板继续支持逐行批准,但我们建议改用逐级批准。
有关此批准类型的控制台视图和 JSON 示例,请参阅 [逐行批准配置示例](approval-type-samples.md#per-line-approvals)。
------
#### [ Combined per-line and per-level approvals ]
*不推荐*。在控制台中,**构建器**选项卡不再支持添加逐行批准。但在某些情况下,您最终可能会在更改模板中同时包含逐行和逐级批准。如果您更新在 2023 年 1 月 23 日之前创建的更改模板,或者通过手动编辑更改模板的 YAML 内容来创建或更新更改模板,则可能会发生这种情况。
有关此批准类型的控制台视图和 JSON 示例,请参阅 [逐级和逐行组合批准配置示例](approval-type-samples.md#combined-approval-levels)。
------
**重要**
虽然可以创建将逐行和逐级批准组合在一起的更改模板,但不建议或不必使用此配置。无论哪种批准类型,需要较多批准者(逐行或逐级批准)优先。例如:
如果更改模板指定了三次逐级批准,但指定了五次逐行批准,则需要五次批准。
如果更改模板指定了四次逐级批准,但指定了两次逐行批准,则需要四次批准。
您可以通过手动编辑 YAML 或 JSON 内容,来创建同时包括逐行和逐级批准的级别。然后,**构建器**选项卡将显示用于为该级别和单个行指定所需批准数量的控件。但您使用控制台添加的新级别仍然仅支持逐级批准配置。
## 更改请求通知和拒绝
Amazon SNS 通知
在使用您的更改模板创建更改请求后,将向已为该级别的批准通知指定的 Amazon Simple Notification Service(Amazon SNS)主题的订阅用户发送通知。您可以在更改模板中指定通知主题,也可以允许创建更改请求的用户指定通知主题。
在某一级别获得最低所需批准数量后,将向订阅下一级别 Amazon SNS 主题的审批者发送通知,依此类推。
确保您指定的 IAM 角色、组和用户共同提供足够的审批者,以满足您指定的所需批准数量。例如,如果您仅将一个包含三个用户的 IAM 组指定为审批者,则您无法指定在该级别必须获得五次批准,只能指定三次或以下。
更改请求拒绝
无论您指定了多少个批准级别和审批者,只需拒绝一次更改请求,就会阻止执行该请求的运行手册工作流。
# Change Manager 批准类型示例
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
以下示例演示了 Change Manager 中三种批准类型的控制台视图和 JSON 内容。
**Topics**
+ [逐级批准配置示例](#per-level-approvals)
+ [逐行批准配置示例](#per-line-approvals)
+ [逐级和逐行组合批准配置示例](#combined-approval-levels)
## 逐级批准配置示例
在下图所示的逐级批准级别设置中,需要三次批准。这些批准可以来自被指定为审批者的 IAM 用户、组和角色的任意组合。指定的审批者包括两个 IAM 用户(John Stiles 和 Ana Carolina Silva),一个包含三个成员的用户组(`GroupOfThree`),以及一个代表十个用户的用户角色(`RoleOfTen`)。
如果 `GroupOfThree` 组中的所有三个用户都批准了更改请求,则该更改请求即获得了该级别的批准。不必获得来自每个用户、组或角色的批准。最低批准数量可以来自指定审批者的任意组合。我们建议对您的 Change Manager 操作进行逐级批准。
![\[批准级别显示需要三次批准和四个指定审批者。\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/Add-approval-2.png)
以下示例说明了此配置的部分 YAML 代码。
**注意**
此版本的 YAML 代码包括一个额外的输入 `MinRequiredApprovals`(包含首字母大写 `M`)。此输入的值表示需要从所有可用审核者获得多少次批准。另请注意,`Approvers` 列表中每个审批者的 `minRequiredApprovals`(首字母小写 `m`)值为 `0`(零)。这表示相应审批者可以为总批准数做出贡献,但不需要这样做。
```
schemaVersion: "0.3"
emergencyChange: false
autoApprovable: false
mainSteps:
- name: ApproveAction1
action: aws:approve
timeoutSeconds: 604800
inputs:
Message: Please approve this change request
MinRequiredApprovals: 3
EnhancedApprovals:
Approvers:
- approver: John Stiles
type: IamUser
minRequiredApprovals: 0
- approver: Ana Carolina Silva
type: IamUser
minRequiredApprovals: 0
- approver: GroupOfThree
type: IamGroup
minRequiredApprovals: 0
- approver: RoleOfTen
type: IamRole
minRequiredApprovals: 0
templateInformation: >
#### What is the purpose of this change?
//truncated
```
## 逐行批准配置示例
在下图所示的批准级别设置中,指定了四个审批者。其中包括两个 IAM 用户(John Stiles 和 Ana Carolina Silva),一个包含三个成员的用户组(`GroupOfThree`),以及一个代表十个用户的用户角色(`RoleOfTen`)。为了实现向后兼容性支持逐行批准,但不推荐使用该类型。
![\[批准级别显示需要四个逐行审批者。\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/Add-approval-1.png)
要使更改请求在此逐行批准配置中获得批准,该更该请求必须获得所有审批者行的批准:John Stiles、Ana Carolina Silva、`GroupOfThree` 组的一名成员,以及 `RoleOfTen` 角色的一名成员。
以下示例说明了此配置的部分 YAML 代码。
**注意**
请注意,每个 `minRequiredApprovals` 审批者的值均为 `1`。这表示需要从每个审批者获得一次批准。
```
schemaVersion: "0.3"
emergencyChange: false
autoApprovable: false
mainSteps:
- name: ApproveAction1
action: aws:approve
timeoutSeconds: 10000
inputs:
Message: Please approve this change request
EnhancedApprovals:
Approvers:
- approver: John Stiles
type: IamUser
minRequiredApprovals: 1
- approver: Ana Carolina Silva
type: IamUser
minRequiredApprovals: 1
- approver: GroupOfThree
type: IamGroup
minRequiredApprovals: 1
- approver: RoleOfTen
type: IamRole
minRequiredApprovals: 1
executableRunBooks:
- name: AWS-HelloWorld
version: $DEFAULT
templateInformation: >
#### What is the purpose of this change?
//truncated
```
## 逐级和逐行组合批准配置示例
在下图所示的逐级和逐行组合批准设置中,为级别指定了三次批准,但为行项目批准指定了四次批准。无论哪种批准类型,需要更多批准的类型都优先于另一种类型,所以此配置需要四次批准。不推荐使用按级别和按行组合批准。
![\[批准级别显示级别需要三次批准,但行级别需要四次批准。\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/Add-approval-3.png)
```
schemaVersion: "0.3"
emergencyChange: false
autoApprovable: false
mainSteps:
- name: ApproveAction1
action: aws:approve
timeoutSeconds: 604800
inputs:
Message: Please approve this change request
MinRequiredApprovals: 3
EnhancedApprovals:
Approvers:
- approver: John Stiles
type: IamUser
minRequiredApprovals: 1
- approver: Ana Carolina Silva
type: IamUser
minRequiredApprovals: 1
- approver: GroupOfThree
type: IamGroup
minRequiredApprovals: 1
- approver: RoleOfTen
type: IamRole
minRequiredApprovals: 1
templateInformation: >
#### What is the purpose of this change?
//truncated
```
**Topics**
+ [关于更改模板中的批准](cm-approvals-templates.md)
+ [使用 Builder (生成器) 创建更改模板](change-templates-custom-builder.md)
+ [使用 Editor (编辑器) 创建更改模板](change-templates-custom-editor.md)
+ [使用命令行工具创建更改模板](change-templates-tools.md)
# 使用 Builder (生成器) 创建更改模板
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
将生成器用于 Change Manager(AWS Systems Manager 中的一项工具)中的更改模板,即可配置在更改模板中定义的运行手册工作流,免于使用使用 JSON 或 YAML 语法。在您指定选项后,系统会将您的输入转换为 YAML 格式,Systems Manager 可以将其用于运行运行手册工作流。
**使用 Builder (生成器) 创建更改模板**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Change Manager**。
1. 选择**创建模板**。
1. 对于 **Name (名称)**,请输入模板的名称,以便于识别其用途,例如 **UpdateEC2LinuxAMI**。
1. 在 **Change template details (更改模板详细信息)** 部分中,执行以下操作:
+ 对于 **Description (描述)**,请提供有关如何以及何时使用您所创建的更改模板的简要说明。
此描述可帮助创建更改请求的用户确定他们是否使用了正确的更改模板。它可以帮助审核更改请求的人员了解是否应该批准该请求。
+ 对于 **Change template type (更改模板类型)**,请指定您是创建标准更改模板还是紧急更改模板。
紧急更改模板用于即便 AWS Systems Manager Change Calendar 所使用的日历中的某个事件阻止更改,也必须进行更改的情况。从紧急更改模板创建的更改请求仍然必须由其指定的审批人员批准,但即便日历被阻止,所请求的更改仍可运行。
+ 对于 **Runbook options (运行手册选项)**,请指定用户在创建更改请求时可以从中选择的运行手册。您可以添加一个运行手册或多个运行手册。或者,您也可以允许请求者指定要使用哪一个运行手册。在上述任何情况下,更改请求中都只能包含一个运行手册。
+ 对于 **Runbook (运行手册)**,请选择用户可以为其更改请求从中选择的运行手册的名称及其版本。无论您向更改模板添加了多少个运行手册,每个更改请求只能选择一个运行手册。
如果您先前选择了 **Any runbook can be used (可以使用任何运行手册)**,则您无需指定运行手册。
**提示**
选择运行手册和运行手册版本,然后选择 **View (查看)**,以便在 Systems Manager Documents (文档) 界面中检查运行手册的内容。
1. 在 **Template information (模板信息)** 部分中,使用 Markdown 输入从此更改模板创建更改请求的用户的信息。我们提供了一组问题,您可以为创建更改请求的用户提供这些问题,也可以添加其他信息和问题作为替代。
**注意**
Markdown 是一种标记语言,允许您为文档和文档中的各个步骤中添加维基百科式的描述。有关使用 Markdown 的更多信息,请参阅[在 AWS 中使用 Markdown](https://docs.aws.amazon.com/general/latest/gr/aws-markdown.html)。
我们建议为用户提供问题,询问有关其更改请求的信息,以帮助审批人员决定是否批准每个更改请求,例如列出作为更改的组成部分需要运行的任何手动步骤和回滚计划。
**提示**
在 **Hide preview (隐藏预览)** 和 **Show preview (显示预览)** 之间切换,以便查看您的哪些内容看起来符合您的编写要求。
1. 在 **Change request approvals (更改请求批准)** 部分中,执行以下操作:
+ (可选)如果您希望允许从此更改模板创建的更改请求自动运行,而不需要任何审批人员进行审核(更改冻结事件除外),则请选择 **Enable auto-approval (启用自动批准)**。
**注意**
在更改模板中启用自动批准,可为用户提供绕过审核人员的*选项*。他们仍然可以在创建更改请求时选择指定审核人员。因此,您仍然必须在更改模板中指定审批人员选项。
**重要**
如果您为更改模板启用了自动批准,则用户可以使用该模板提交更改请求,这些更改请求在运行前无需审核人员进行审核(更改冻结事件审批人员除外)。如果您要限制特定用户、组或 IAM 角色提交自动批准请求,可以使用 IAM policy 中的某一条件来实现此目的。有关更多信息,请参阅 [控制对自动批准运行手册工作流的访问](change-manager-auto-approval-access.md)。
+ 对于**此级别所需的批准数量**,选择通过此更改模板创建的更改请求对于此级别必须获得的批准数量。
+ 要添加强制的第一级审批人员,请选择 **Add approver (添加审批人员)**,然后从以下选项中进行选择:
+ **Template specified approvers (模板指定的审批人员)** – 从您的账户中选择一个或多个用户、组或 AWS Identity and Access Management (IAM) 角色,以批准从此更改模板创建的更改请求。使用此模板创建的任何更改请求都必须由您指定的每个审批人员进行审核和批准。
+ **Request specified approvers**(请求指定的审批人员):提出更改请求的用户将在提出该请求时指定审核人员,并可从您账户中的用户列表中进行选择。
您在 **Required (必需)** 列中输入的数字确定使用此更改模板的更改请求必须指定的审核人员的数量。
**重要**
在 2023 年 1 月 23 日之前,**构建器**选项卡仅支持指定逐行批准。新更改模板和您使用**构建器**选项卡添加到现有更改模板的新级别,仅支持逐级批准。我们建议在您的 Change Manager 操作中仅使用逐级批准。
有关更多信息,请参阅 [关于更改模板中的批准](cm-approvals-templates.md)。
+ 对于 **SNS topic to notify approvers (要通知审批人员的 SNS 主题)**,请执行以下操作:
1. 选择以下选项之一,在您的账户中指定 Amazon Simple Notification Service (Amazon SNS) 主题,用于向审批人员发送更改请求已准备好供其审核的通知:
+ **Enter an SNS Amazon Resource Name (ARN) (输入 SNS Amazon 资源名称 (ARN))** – 对于 **Topic ARN (主题 ARN)**,请输入现有 Amazon SNS 主题的 ARN。此主题可以位于您组织的任何账户中。
+ **Select an existing SNS topic(选择现有 SNS 主题)** – 对于 **Target notification topic(设定通知主题目标)**,选择您当前的 AWS 账户中现有 Amazon SNS 主题的 ARN。(如果您尚未在当前的 AWS 账户 和 AWS 区域 中创建任何 Amazon SNS 主题,则此选项不可用。)
+ **Specify SNS topic when the change request is created (创建更改请求时指定 SNS 主题)** – 创建更改请求的用户可以指定要用于通知的 Amazon SNS 主题。
**注意**
您选择的 Amazon SNS 主题必须被配置为指定它所发送的通知,以及接收这些通知的订阅者。其访问策略还必须向 Systems Manager 授予权限,以便 Change Manager 可以发送通知。有关信息,请参阅[为 Change Manager 通知配置 Amazon SNS 主题](change-manager-sns-setup.md)。
1. 选择 **Add notification(添加通知)**。
1. (可选)要添加其他级别的审批人员,请选择 **Add approval level (添加批准级别)**,然后在与此级别对应的模板指定的审批人员和请求指定的审批人员之间进行选择。然后选择 SNS 主题以通知此级别的审批人员。
在第一级审批人员收到所有批准后,会通知第二级审批人员,依此类推。
您可以在每个模板中添加最多五个级别的审批人员。例如,您可能需要担任技术角色的用户提供第一级别的批准,然后需要管理人员提供第二级别的批准。
1. 在 **Monitoring (监控)** 部分中,对于 **CloudWatch alarm to monitor (要监控的 CloudWatch 告警)**,请输入当前账户中 Amazon CloudWatch 告警的名称,以监控基于此模板的运行手册工作流的进度。
**提示**
要创建新告警,或要审核您要指定的告警的设置,请选择 **Open the Amazon CloudWatch console (打开 Amazon CloudWatch 控制台)**。有关使用 CloudWatch 告警的信息,请参阅 *Amazon CloudWatch 用户指南*中的[使用 CloudWatch 告警](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)。
1. 在 **Notifications**(通知)部分执行以下操作:
1. 选择以下选项之一,在您的账户中指定 Amazon SNS 主题,用于发送有关使用此更改模板创建的更改请求的通知:
+ **Enter an SNS Amazon Resource Name (ARN) (输入 SNS Amazon 资源名称 (ARN))** – 对于 **Topic ARN (主题 ARN)**,请输入现有 Amazon SNS 主题的 ARN。此主题可以位于您组织的任何账户中。
+ **Select an existing SNS topic(选择现有 SNS 主题)** – 对于 **Target notification topic(设定通知主题目标)**,选择您当前的 AWS 账户中现有 Amazon SNS 主题的 ARN。(如果您尚未在当前的 AWS 账户 和 AWS 区域 中创建任何 Amazon SNS 主题,则此选项不可用。)
**注意**
您选择的 Amazon SNS 主题必须被配置为指定它所发送的通知,以及接收这些通知的订阅者。其访问策略还必须向 Systems Manager 授予权限,以便 Change Manager 可以发送通知。有关信息,请参阅[为 Change Manager 通知配置 Amazon SNS 主题](change-manager-sns-setup.md)。
1. 选择 **Add notification(添加通知)**。
1. (可选)在 **Tags (标签)** 部分中,将一个或多个标签键名/键值对应用于更改模板。
标签是您分配给资源的可选元数据。通过使用标签,您可以按各种方式(如用途、所有者或环境)对资源进行分类。例如,您可能希望标记更改模板,以标识它所进行的更改的类型及其运行的环境。在这种情况下,您可以指定以下键名/键值对:
+ `Key=TaskType,Value=InstanceRepair`
+ `Key=Environment,Value=Production`
1. 选择 **Save and preview (保存和预览)**。
1. 审核您所创建的更改模板的详细信息。
如果要在提交更改模板以供审核之前对其进行更改,请选择 **Actions (操作)、Edit (编辑)**。
如果您对更改模板的内容感到满意,请选择 **Submit for review (提交以供审核)**。您的组织或账户内在 Change Manager 中的 **Settings (设置)** 选项卡上被指定为模板审核人员的用户,将收到新的更改模板正等待其审核的通知。
如果已为更改模板指定 Amazon SNS 主题,则当更改模板被拒绝或批准时,系统会发送通知。如果您没有收到与此更改模板相关的通知,可在稍后返回 Change Manager 以检查其状态。
# 使用 Editor (编辑器) 创建更改模板
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
按照本主题中的步骤操作,通过输入 JSON 或 YAML,而不是使用控制台控件,即可在 Change Manager(AWS Systems Manager 中的一项工具)中配置更改模板。
**使用 Editor (编辑器) 创建更改模板**
1. 在导航窗格中,请选择 **Change Manager**。
1. 选择**创建模板**。
1. 对于 **Name (名称)**,请输入模板的名称,以便于识别其用途,例如 **RestartEC2LinuxInstance**。
1. 在 **Change template details (更改模板详细信息)** 上方,选择 **Editor (编辑器)**。
1. 在 **Document editor (文档编辑器)** 部分中,选择 **Edit (编辑)**,然后为您的更改模板输入 JSON 或 YAML 内容。
示例如下:
**注意**
参数 `minRequiredApprovals` 用于指定对于使用此模板创建的更改请求,必须取得多少指定级别的审阅者批准。
此示例演示了两个级别的批准。您可以指定最多五个级别的批准,但只需要一个级别。
在第一级,每个更改请求必须取得指定用户“John-Doe”的批准。然后,该更改请求必须由 IAM 角色 `Admin` 的任意三个成员批准。
有关批准更改模板的更多信息,请参阅 [关于更改模板中的批准](cm-approvals-templates.md)。
------
#### [ YAML ]
```
description: >-
This change template demonstrates the feature set available for creating
change templates for Change Manager. This template starts a Runbook workflow
for the Automation runbook called AWS-HelloWorld.
templateInformation: >
### Document Name: HelloWorldChangeTemplate
## What does this document do?
This change template demonstrates the feature set available for creating
change templates for Change Manager. This template starts a Runbook workflow
for the Automation runbook called AWS-HelloWorld.
## Input Parameters
* ApproverSnsTopicArn: (Required) Amazon Simple Notification Service ARN for
approvers.
* Approver: (Required) The name of the approver to send this request to.
* ApproverType: (Required) The type of reviewer.
* Allowed Values: IamUser, IamGroup, IamRole, SSOGroup, SSOUser
## Output Parameters
This document has no outputs
schemaVersion: '0.3'
parameters:
ApproverSnsTopicArn:
type: String
description: Amazon Simple Notification Service ARN for approvers.
Approver:
type: String
description: IAM approver
ApproverType:
type: String
description: >-
Approver types for the request. Allowed values include IamUser, IamGroup,
IamRole, SSOGroup, and SSOUser.
executableRunBooks:
- name: AWS-HelloWorld
version: '1'
emergencyChange: false
autoApprovable: false
mainSteps:
- name: ApproveAction1
action: 'aws:approve'
timeoutSeconds: 3600
inputs:
Message: >-
A sample change request has been submitted for your review in Change
Manager. You can approve or reject this request.
EnhancedApprovals:
NotificationArn: '{{ ApproverSnsTopicArn }}'
Approvers:
- approver: John-Doe
type: IamUser
minRequiredApprovals: 1
- name: ApproveAction2
action: 'aws:approve'
timeoutSeconds: 3600
inputs:
Message: >-
A sample change request has been submitted for your review in Change
Manager. You can approve or reject this request.
EnhancedApprovals:
NotificationArn: '{{ ApproverSnsTopicArn }}'
Approvers:
- approver: Admin
type: IamRole
minRequiredApprovals: 3
```
------
#### [ JSON ]
```
{
"description": "This change template demonstrates the feature set available for creating
change templates for Change Manager. This template starts a Runbook workflow
for the Automation runbook called AWS-HelloWorld",
"templateInformation": "### Document Name: HelloWorldChangeTemplate\n\n
## What does this document do?\n
This change template demonstrates the feature set available for creating change templates for Change Manager.
This template starts a Runbook workflow for the Automation runbook called AWS-HelloWorld.\n\n
## Input Parameters\n* ApproverSnsTopicArn: (Required) Amazon Simple Notification Service ARN for approvers.\n
* Approver: (Required) The name of the approver to send this request to.\n
* ApproverType: (Required) The type of reviewer. * Allowed Values: IamUser, IamGroup, IamRole, SSOGroup, SSOUser\n\n
## Output Parameters\nThis document has no outputs\n",
"schemaVersion": "0.3",
"parameters": {
"ApproverSnsTopicArn": {
"type": "String",
"description": "Amazon Simple Notification Service ARN for approvers."
},
"Approver": {
"type": "String",
"description": "IAM approver"
},
"ApproverType": {
"type": "String",
"description": "Approver types for the request. Allowed values include IamUser, IamGroup, IamRole, SSOGroup, and SSOUser."
}
},
"executableRunBooks": [
{
"name": "AWS-HelloWorld",
"version": "1"
}
],
"emergencyChange": false,
"autoApprovable": false,
"mainSteps": [
{
"name": "ApproveAction1",
"action": "aws:approve",
"timeoutSeconds": 3600,
"inputs": {
"Message": "A sample change request has been submitted for your review in Change Manager. You can approve or reject this request.",
"EnhancedApprovals": {
"NotificationArn": "{{ ApproverSnsTopicArn }}",
"Approvers": [
{
"approver": "John-Doe",
"type": "IamUser",
"minRequiredApprovals": 1
}
]
}
}
},
{
"name": "ApproveAction2",
"action": "aws:approve",
"timeoutSeconds": 3600,
"inputs": {
"Message": "A sample change request has been submitted for your review in Change Manager. You can approve or reject this request.",
"EnhancedApprovals": {
"NotificationArn": "{{ ApproverSnsTopicArn }}",
"Approvers": [
{
"approver": "Admin",
"type": "IamRole",
"minRequiredApprovals": 3
}
]
}
}
}
]
}
```
------
1. 选择 **Save and preview (保存和预览)**。
1. 审核您所创建的更改模板的详细信息。
如果要在提交更改模板以供审核之前对其进行更改,请选择 **Actions (操作)、Edit (编辑)**。
如果您对更改模板的内容感到满意,请选择 **Submit for review (提交以供审核)**。您的组织或账户内在 Change Manager 中的 **Settings (设置)** 选项卡上被指定为模板审核人员的用户,将收到新的更改模板正等待其审核的通知。
如果已为更改模板指定 Amazon Simple Notification Service (Amazon SNS) 主题,则当更改模板被拒绝或批准时,系统会发送通知。如果您没有收到与此更改模板相关的通知,可在稍后返回 Change Manager 以检查其状态。
# 使用命令行工具创建更改模板
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
以下过程介绍了如何使用 AWS Command Line Interface(AWS CLI)(在 Linux、macOS 或 Windows Server 上)或 AWS Tools for Windows PowerShell 在 Change Manager(AWS Systems Manager 中的一个工具)中创建更改请求。
**创建更改模板**
1. 安装并配置 AWS Tools for PowerShell (AWS CLI)(如果尚未执行该操作)。
有关信息,请参阅[安装或更新 AWS CLI 的最新版本](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)以及[安装 AWS Tools for PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html)。
1. 在本地计算机上使用 `MyChangeTemplate.json` 之类的名称创建一个 JSON 文件,然后将更改模板的内容粘贴到此文件中。
**注意**
更改模板使用架构 0.3 版本,该版本包含的支持与针对自动化运行手册的支持不完全相同。
示例如下:
**注意**
参数 `minRequiredApprovals` 用于指定对于使用此模板创建的更改请求,必须取得多少指定级别的审阅者批准。
此示例演示了两个级别的批准。您可以指定最多五个级别的批准,但只需要一个级别。
在第一级,每个更改请求必须取得指定用户“John-Doe”的批准。然后,该更改请求必须由 IAM 角色 `Admin` 的任意三个成员批准。
有关批准更改模板的更多信息,请参阅 [关于更改模板中的批准](cm-approvals-templates.md)。
```
{
"description": "This change template demonstrates the feature set available for creating
change templates for Change Manager. This template starts a Runbook workflow
for the Automation runbook called AWS-HelloWorld",
"templateInformation": "### Document Name: HelloWorldChangeTemplate\n\n
## What does this document do?\n
This change template demonstrates the feature set available for creating change templates for Change Manager.
This template starts a Runbook workflow for the Automation runbook called AWS-HelloWorld.\n\n
## Input Parameters\n* ApproverSnsTopicArn: (Required) Amazon Simple Notification Service ARN for approvers.\n
* Approver: (Required) The name of the approver to send this request to.\n
* ApproverType: (Required) The type of reviewer. * Allowed Values: IamUser, IamGroup, IamRole, SSOGroup, SSOUser\n\n
## Output Parameters\nThis document has no outputs\n",
"schemaVersion": "0.3",
"parameters": {
"ApproverSnsTopicArn": {
"type": "String",
"description": "Amazon Simple Notification Service ARN for approvers."
},
"Approver": {
"type": "String",
"description": "IAM approver"
},
"ApproverType": {
"type": "String",
"description": "Approver types for the request. Allowed values include IamUser, IamGroup, IamRole, SSOGroup, and SSOUser."
}
},
"executableRunBooks": [
{
"name": "AWS-HelloWorld",
"version": "1"
}
],
"emergencyChange": false,
"autoApprovable": false,
"mainSteps": [
{
"name": "ApproveAction1",
"action": "aws:approve",
"timeoutSeconds": 3600,
"inputs": {
"Message": "A sample change request has been submitted for your review in Change Manager. You can approve or reject this request.",
"EnhancedApprovals": {
"NotificationArn": "{{ ApproverSnsTopicArn }}",
"Approvers": [
{
"approver": "John-Doe",
"type": "IamUser",
"minRequiredApprovals": 1
}
]
}
}
},
{
"name": "ApproveAction2",
"action": "aws:approve",
"timeoutSeconds": 3600,
"inputs": {
"Message": "A sample change request has been submitted for your review in Change Manager. You can approve or reject this request.",
"EnhancedApprovals": {
"NotificationArn": "{{ ApproverSnsTopicArn }}",
"Approvers": [
{
"approver": "Admin",
"type": "IamRole",
"minRequiredApprovals": 3
}
]
}
}
}
]
}
```
1. 运行以下命令创建更改模板。
------
#### [ Linux & macOS ]
```
aws ssm create-document \
--name MyChangeTemplate \
--document-format JSON \
--document-type Automation.ChangeTemplate \
--content file://MyChangeTemplate.json \
--tags Key=tag-key,Value=tag-value
```
------
#### [ Windows ]
```
aws ssm create-document ^
--name MyChangeTemplate ^
--document-format JSON ^
--document-type Automation.ChangeTemplate ^
--content file://MyChangeTemplate.json ^
--tags Key=tag-key,Value=tag-value
```
------
#### [ PowerShell ]
```
$json = Get-Content -Path "C:\path\to\file\MyChangeTemplate.json" | Out-String
New-SSMDocument `
-Content $json `
-Name "MyChangeTemplate" `
-DocumentType "Automation.ChangeTemplate" `
-Tags "Key=tag-key,Value=tag-value"
```
------
有关可以指定的其他选项的信息,请参阅 [https://docs.aws.amazon.com/cli/latest/reference/ssm/create-document.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-document.html)。
系统将返回类似于以下内容的信息。
```
{
"DocumentDescription":{
"CreatedDate":1.585061751738E9,
"DefaultVersion":"1",
"Description":"Use this template to update an EC2 Linux AMI. Requires one
approver specified in the template and an approver specified in the request.",
"DocumentFormat":"JSON",
"DocumentType":"Automation",
"DocumentVersion":"1",
"Hash":"0d3d879b3ca072e03c12638d0255ebd004d2c65bd318f8354fcde820dEXAMPLE",
"HashType":"Sha256",
"LatestVersion":"1",
"Name":"MyChangeTemplate",
"Owner":"123456789012",
"Parameters":[
{
"DefaultValue":"",
"Description":"Level one approvers",
"Name":"LevelOneApprovers",
"Type":"String"
},
{
"DefaultValue":"",
"Description":"Level one approver type",
"Name":"LevelOneApproverType",
"Type":"String"
},
"cloudWatchMonitors": {
"monitors": [
"my-cloudwatch-alarm"
]
}
],
"PlatformTypes":[
"Windows",
"Linux"
],
"SchemaVersion":"0.3",
"Status":"Creating",
"Tags":[
]
}
}
```
您的组织或账户内在 Change Manager 中的 **Settings (设置)** 选项卡上被指定为模板审核人员的用户,将收到新的更改模板正等待其审核的通知。
如果已为更改模板指定 Amazon Simple Notification Service (Amazon SNS) 主题,则当更改模板被拒绝或批准时,系统会发送通知。如果您没有收到与此更改模板相关的通知,可在稍后返回 Change Manager 以检查其状态。
# 审核和批准或拒绝更改模板
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
如果您在 Change Manager(AWS Systems Manager 中的一项工具)中被指定为更改模板的审核人员,只要有新的更改模板或新版本的更改模板等待审核,您就会收到通知。Amazon Simple Notification Service (Amazon SNS) 主题可以发送通知。
**注意**
此功能取决于是否已将您的账户配置为使用 Amazon SNS 主题发送更改模板审核通知。有关指定模板审核人员通知主题的信息,请参阅 [任务 1:配置 Change Manager 用户身份管理和模板审核人员](change-manager-account-setup.md#cm-configure-account-task-1)。
要审核更改模板,请访问您的通知中的链接,登录到 AWS 管理控制台,然后按照本过程中的步骤进行操作。
**审核和批准或拒绝更改模板**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Change Manager**。
1. 在 **Overview (概述)** 选项卡底部的 **Change templates (更改模板)** 部分中,选择 **Pending review (等待审核)** 中的编号。
1. 在 **Change templates (更改模板)** 列表中,找到并选择要审核的更改模板的名称。
1. 在摘要页面中,审核更改模板的建议内容,然后执行以下操作之一:
+ 要批准更改模板(这将允许在更改请求中使用该模板),请选择 **Approve**(批准)。
+ 要拒绝更改模板(这将阻止在更改请求中使用该模板),请选择 **Reject**(拒绝)。
# 删除更改模板
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
本主题介绍如何删除您在 Change Manager(Systems Manager 中的一项工具)中创建的模板。如果您正在为企业使用 Change Manager,则此过程将在委托管理员账户中执行。
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Change Manager**。
1. 选择 **Templates** 选项卡。
1. 选择要删除的模板的名称。
1. 选择 **Actions, Delete template**(操作,删除模板)。
1. 在确认对话框中,输入 **DELETE** 一词,然后选择 **Delete**(删除)。
# 使用更改请求
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
更改请求是 Change Manager 中的一个请求,旨在运行更新您的 AWS 或本地环境中一个或多个资源的自动化运行手册。更改请求是使用更改模板创建的。
在 Change Manager(AWS Systems Manager 中的一项工具)中创建更改请求时,组织或账户中的一个或多个审批人员必须审核并批准该请求。如果没有获得所需的批准,则不允许运行进行您请求的更改的运行手册工作流。
**Topics**
+ [创建更改请求](change-requests-create.md)
+ [审核和批准或拒绝更改请求](change-requests-review.md)
# 创建更改请求
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
在 Change Manager(AWS Systems Manager 中的一项工具)中创建更改请求时,您选择的更改模板通常会执行以下操作:
+ 为更改请求指定审批人员或者指定所需审批人员的数量
+ 指定要用于将您的更改请求通知审批人员的 Amazon Simple Notification Service (Amazon SNS) 主题
+ 指定 Amazon CloudWatch 告警,以监控更改请求的运行手册工作流
+ 确定您可以从哪些自动化运行手册中进行选择,以进行所请求的更改
在某些情况下,可能会配置更改模板,以使您能指定自己的自动化运行手册以供使用,并指定应该审核和批准该请求的人员。
**重要**
如果您在整个组织中使用 Change Manager,我们建议始终从委托管理员账户进行更改。虽然您可以从组织中的其他账户进行更改,但这些更改不会在委派管理员账户中报告,也无法从该账户查看。
**Topics**
+ [关于更改请求批准](#cm-approvals-requests)
+ [创建更改请求(控制台)](#change-requests-create-console)
+ [创建更改请求 (AWS CLI)](#change-requests-create-cli)
## 关于更改请求批准
根据更改模板中指定的要求,您在该模板中创建的更改请求可能需要获得最多五个*级别*的批准,然后才能为该请求执行运行手册工作流。对于每个级别,模板创建者最多可以指定五个潜在*审批者*。审批者并不限于单个用户。从这个意义上讲,审批者也可以是 IAM 组或 IAM 角色。对于 IAM 组和 IAM 角色,属于该组或角色的一个或多个用户可以提供批准,以获得更改请求所需的批准总数。模板创建者还可以指定数量超过更改模板所需数量的审批者。
**原始审批工作流以及经过更新的审批工作流和/或审批**
使用在 2023 年 1 月 23 日之前创建的更改模板,必须获得每个指定审批者的批准,更改请求才能在该级别获得批准。例如,在下图所示的批准级别设置中,指定了四个审批者。指定的审批者包括两个用户(John Stiles 和 Ana Carolina Silva),一个包含三个成员的用户组(GroupOfThree),以及一个代表十个用户的用户角色(RoleOfTen)。
![\[批准级别显示需要四个逐行审批者。\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/Add-approval-1.png)
要使更改请求在此级别获得批准,该更改请求必须经过 John Stiles、Ana Carolina Silva、`GroupOfThree` 组的一名成员和 `RoleOfTen` 角色的一名成员的批准。
使用在 2023 年 1 月 23 日或之后创建的更改模板,模板创建者可为每个批准级别指定所需批准的总数。这些批准可以来自已被指定为审批者的用户、组和角色的任意组合。一个更改模板对于一个级别可能只需要一次批准,但举例来说,需要指定两个单独的用户、两个组和一个角色作为潜在审批者。
例如,在下图所示的批准级别区域中,需要三次批准。模板指定的审批者包括两个用户(John Stiles 和 Ana Carolina Silva),一个包含三个成员的用户组(`GroupOfThree`),以及一个代表十个用户的用户角色(`RoleOfTen`)。
![\[批准级别显示需要三次批准和四个指定审批者。\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/Add-approval-2.png)
如果 `GroupOfThree` 组中的所有三个用户都批准了您的更改请求,则该更改请求即获得了该级别的批准。不必获得来自每个用户、组或角色的批准。最低批准数量可以来自潜在审批者的任意组合。
在创建更改请求后,将向已为该级别的批准通知指定的 Amazon SNS 主题的订阅用户发送通知。更改模板创建者可能已经指定了必须使用的通知主题,或者允许您指定通知主题。
在某一级别获得最低所需批准数量后,将向订阅下一级别 Amazon SNS 主题的审批者发送通知,依此类推。
无论指定了多少个批准级别和审批者,只需拒绝一次更改请求,就会阻止执行该请求的运行手册工作流。
## 创建更改请求(控制台)
以下过程介绍了如何使用 Systems Manager 控制台创建更改请求。
**创建更改请求(控制台)**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Change Manager**。
1. 选择 **Create request (创建请求)**。
1. 搜索并选择要用于此更改请求的更改模板。
1. 选择**下一步**。
1. 对于 **Name (名称)**,请输入更改请求的名称,以便于识别其用途,例如 **UpdateEC2LinuxAMI-us-east-2**。
1. 对于 **Runbook (运行手册)**,请选择您要用于进行所请求的更改的运行手册。
**注意**
如果选择运行手册的选项不可用,则更改模板作者已指定了必须使用哪个运行手册。
1. 对于 **Change request information (更改请求信息)**,请使用 Markdown 提供有关更改请求的其他信息,以帮助审核人员决定是批准还是拒绝更改请求。您使用的模板的作者可能已提供了说明或需要您解答的问题。
**注意**
Markdown 是一种标记语言,允许您为文档和文档中的各个步骤中添加维基百科式的描述。有关使用 Markdown 的更多信息,请参阅[在 AWS 中使用 Markdown](https://docs.aws.amazon.com/general/latest/gr/aws-markdown.html)。
1. 在 **Workflow start time (工作流开始时间)** 部分中,选择以下选项之一:
+ **Run the operation at a scheduled time (在计划时间运行该操作)** – 对于 **Requested start time (请求的开始时间)**,请输入您建议运行此请求的运行手册工作流的日期和时间。对于 **Estimated end time (估计结束时间)**,请输入您预计运行手册工作流完成的日期和时间。(此时间仅是您为审核人员提供的估计值。)
**提示**
选择 **View Change Calendar (查看更改日历)**,以检查您指定的时间内是否存在任何阻止事件。
+ **Run the operation as soon as possible after approval (批准后尽快运行操作)**— 如果更改请求获得批准,则运行手册工作流将在出现可以进行更改的非限制时段时立即运行。
1. 在 **Change request approvals (更改请求批准)** 部分中,执行以下操作:
1. 如果出现 **Approval type (批准类型)** 选项,请选择以下选项之一:
+ **Automatic approval (自动批准)** – 您选择的更改模板将被配置为允许更改请求自动运行,而无需任何审批人员审核。继续执行步骤 11。
**注意**
在管理 Systems Manager 使用的 IAM policy 中指定的权限,不得限制您为使更改请求能够自动运行而提交自动批准更改请求。
+ **Specify approvers (指定审批人员)** – 您必须添加一个或多个用户、组或 IAM 角色,才能查看和批准此更改请求。
**注意**
即便在管理 Systems Manager 使用的 IAM policy 中指定的权限允许您运行自动批准更改请求,您也可以选择指定审核人员。
1. 选择 **Add approver (添加审批人员)**,然后从可用审核人员的列表中选择一个或多个用户、组或 AWS Identity and Access Management (IAM) 角色。
**注意**
可能已指定了一个或多个审批人员。这意味着已在您选择的更改模板中指定了强制审批人员。不能从请求中移除这些批准者。如果**添加审批者**按钮不可用,则您选择的模板不允许将其他审核者添加到请求。
有关批准更改请求的更多信息,请参阅 [关于更改请求批准](#cm-approvals-requests)。
1. 在 **SNS topic to notify approvers (用于通知审批人员的 SNS 主题)** 中,请选择以下选项之一,以便在您的账户中指定要用于向您添加到此更改请求的审批人员发送通知的 Amazon SNS 主题。
**注意**
如果用于指定 Amazon SNS 主题的选项不可用,则您选择的更改模板已指定了要使用的 Amazon SNS 主题。
+ **Enter an SNS Amazon Resource Name (ARN)** [输入 SNS Amazon 资源名称 (ARN)] – 对于 **Topic ARN**(主题 ARN),请输入现有 Amazon SNS 主题的 ARN。此主题可以位于您组织的任何账户中。
+ **Select an existing SNS topic (选择现有 SNS 主题)** – 对于 **Target notification topic (设定通知主题目标)**,选择您的当前账户中现有 Amazon SNS 主题的 ARN。(如果您尚未在当前的 AWS 账户 和 AWS 区域 中创建任何 Amazon SNS 主题,则此选项不可用。)
**注意**
您选择的 Amazon SNS 主题必须被配置为指定它所发送的通知,以及接收这些通知的订阅者。其访问策略还必须向 Systems Manager 授予权限,以便 Change Manager 可以发送通知。有关信息,请参阅[为 Change Manager 通知配置 Amazon SNS 主题](change-manager-sns-setup.md)。
1. 选择 **Add notification(添加通知)**。
1. 选择**下一步**。
1. 对于 **IAM role (IAM 角色)**,请选择*您的当前账户中*拥有所需权限、能够运行为此更改请求指定的运行手册的 IAM 角色。
此角色也称为 自动化的服务角色或代入角色。有关该角色的更多信息,请参阅 [设置自动化](automation-setup.md)。
1. 在 **Deployment location (部署位置)** 部分中,选择以下选项之一:
**注意**
如果您仅将 Change Manager 用于单个 AWS 账户,而非用于在 AWS Organizations 中设置的组织,则不需要指定部署位置。
+ **Apply change to this account (将更改应用于此账户)** – 运行手册工作流仅在当前账户中运行。对于组织,这意味着委托管理员账户。
+ **Apply change to multiple organizational units (OUs) (将更改应用于多个组织单元 (OU))** – 请执行以下操作:
1. 对于 **Accounts and organizational units (OUs) (账户和组织单位 (OU))**,请输入您的组织中成员账户的 ID,格式为 **123456789012**;或组织单位的 ID,格式为 **o-o96EXAMPLE**。
1. (可选)对于 **Execution role name (执行角色名称)**,请输入*目标账户*或 OU 中拥有所需权限、能够运行为此更改请求指定的运行手册的 IAM 角色的名称。您指定的任何 OU 中的所有账户都应该为此角色使用相同的名称。
1. (可选)对于您要指定的每个额外账户或 OU,请选择 **Add another target location (添加其他目标位置)**,并重复步骤 a 和 b。
1. 对于 **Target AWS 区域 (目标 Amazon Web Services Region)**,请选择要在其中进行更改的 Region,例如为美国东部(俄亥俄)区域选择 `Ohio (us-east-2)`。
1. 展开 **Rate control (速率控制)**。
对于 **Concurrency (并发)**,请输入一个数字,然后从列表中选择此数字是表示可在其中同时运行运行手册工作流的账户数量还是百分比。
对于 **Error threshold (错误阈值)**,请输入一个数字,然后从列表中选择此数字是表示在停止操作之前其中的运行手册工作流可能失败的账户数量还是百分比。
1. 在 **Deployment targets (部署目标)** 部分中,执行以下操作:
1. 选择下列选项之一:
+ **Single resource (单个资源)** – 仅对一个资源进行更改。例如,单个节点或单个 Amazon Machine Image (AMI),具体取决于在此更改请求的运行手册中定义的操作。
+ **Multiple resources (多个资源)** – 对于 **Parameter (参数)**,请从此更改请求的运行手册内的可用参数中进行选择。此选择反映了要更新的资源的类型。
例如,如果此更改请求的运行手册为 `AWS-RetartEC2Instance`,则可选择 `InstanceId`,然后通过从以下选项中进行选择,来定义要更新的实例:
+ **Specify tags (指定标签)** - 输入标记要更新的所有资源时使用的键值对。
+ **Choose a resource group (选择资源组)** - 选择要更新的所有资源所属的资源组的名称。
+ **Specify parameter values (指定参数值)** - 确定 **Runbook parameters (运行手册参数)** 部分中要更新的资源。
+ **Target all instances**(将所有实例设为目标)- 对目标位置中的所有托管式节点进行更改。
1. 如果您选择了 **Multiple resources (多个资源)**,请展开 **Rate control (速率控制)**。
对于 **Concurrency (并发)**,请输入一个数字,然后从列表中选择此数字是表示运行手册工作流可以同时更新的目标的数量还是百分比。
对于 **Error threshold (错误阈值)**,请输入一个数字,然后从列表中选择此数字是表示在停止操作之前更新可能失败的目标的数量还是百分比。
1. 如果您选择了 **Specify parameter values (指定参数值)**,以更新上一步中的多个资源:在 **Runbook parameters (运行手册参数)** 部分中,指定所需输入参数的值。您必须提供的参数值基于与所选更改模板相关联的自动化运行手册的内容。
例如,如果更改模板使用 `AWS-RetartEC2Instance` 运行手册,则您必须为 **InstanceId** 参数输入一个或多个实例 ID。或者,选择 **Show interactive instance picker (显示交互式实例选择器)**,然后逐个选择可用实例。
1. 选择**下一步**。
1. 在 **Review and submit (审核并提交)** 页面上,仔细检查您为此更改请求指定的资源和选项。
对于您要对其进行更改的任何部分,请选择 **Edit (编辑)** 按钮。
如果您对更改请求详细信息感到满意,请选择 **Submit for approval (提交以供批准)**。
如果已在您为请求选择的更改模板中指定了 Amazon SNS 主题,则当该请求被拒绝或批准时,系统会发送通知。如果您未收到有关该请求的通知,您可以返回到 Change Manager 以检查您的请求的状态。
## 创建更改请求 (AWS CLI)
您可以使用 AWS Command Line Interface (AWS CLI) 创建更改请求,方法是在 JSON 文件中指定更改请求的选项和参数,并使用 `--cli-input-json` 选项将其包含在您的命令中。
**创建更改请求 (AWS CLI)**
1. 安装并配置 AWS Tools for PowerShell (AWS CLI)(如果尚未执行该操作)。
有关信息,请参阅[安装或更新 AWS CLI 的最新版本](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)以及[安装 AWS Tools for PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html)。
1. 在本地计算机上使用 `MyChangeRequest.json` 之类的名称创建一个 JSON 文件,然后将以下内容粘贴到此文件中。
将*占位符*替换为您的更改请求的值。
**注意**
此示例 JSON 使用 `AWS-HelloWorldChangeTemplate` 更改模板和 `AWS-HelloWorld` 运行手册创建更改请求。要帮助您根据自己的更改请求调整此示例,请参阅**《AWS Systems Manager API Reference》中的 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html),以了解有关所有可用参数的信息
有关批准更改请求的更多信息,请参阅 [关于更改请求批准](#cm-approvals-requests)。
```
{
"ChangeRequestName": "MyChangeRequest",
"DocumentName": "AWS-HelloWorldChangeTemplate",
"DocumentVersion": "$DEFAULT",
"ScheduledTime": "2021-12-30T03:00:00",
"ScheduledEndTime": "2021-12-30T03:05:00",
"Tags": [
{
"Key": "Purpose",
"Value": "Testing"
}
],
"Parameters": {
"Approver": [
"JohnDoe"
],
"ApproverType": [
"IamUser"
],
"ApproverSnsTopicArn": [
"arn:aws:sns:us-east-2:123456789012:MyNotificationTopic"
]
},
"Runbooks": [
{
"DocumentName": "AWS-HelloWorld",
"DocumentVersion": "1",
"MaxConcurrency": "1",
"MaxErrors": "1",
"Parameters": {
"AutomationAssumeRole": [
"arn:aws:iam::123456789012:role/MyChangeManagerAssumeRole"
]
}
}
],
"ChangeDetails": "### Document Name: HelloWorldChangeTemplate\n\n## What does this document do?\nThis change template demonstrates the feature set available for creating change templates for Change Manager. This template starts a Runbook workflow for the Automation document called AWS-HelloWorld.\n\n## Input Parameters\n* ApproverSnsTopicArn: (Required) Amazon Simple Notification Service ARN for approvers.\n* Approver: (Required) The name of the approver to send this request to.\n* ApproverType: (Required) The type of reviewer.\n * Allowed Values: IamUser, IamGroup, IamRole, SSOGroup, SSOUser\n\n## Output Parameters\nThis document has no outputs \n"
}
```
1. 在创建此 JSON 文件的目录中,运行以下命令。
```
aws ssm start-change-request-execution --cli-input-json file://MyChangeRequest.json
```
系统将返回类似于以下内容的信息。
```
{
"AutomationExecutionId": "b3c1357a-5756-4839-8617-2d2a4EXAMPLE"
}
```
# 审核和批准或拒绝更改请求
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
如果在 Change Manager(AWS Systems Manager 中的一项工具)中被指定为更改请求的审核人员,只要有新的更改请求等待审核,您就会通过 Amazon Simple Notification Service(Amazon SNS)主题收到通知。
**注意**
此功能取决于是否在更改模板中指定了 Amazon SNS 来发送审核通知。有关信息,请参阅[为 Change Manager 通知配置 Amazon SNS 主题](change-manager-sns-setup.md)。
要审核更改请求,可以访问您的通知中的链接,或直接登录到 AWS 管理控制台,然后按照本过程中的步骤进行操作。
**注意**
如果在更改模板中为审核人员分配了 Amazon SNS 主题,则当更改请求状态发生变化时,会向该主题的订阅者发送通知。
有关批准更改请求的更多信息,请参阅 [关于更改请求批准](change-requests-create.md#cm-approvals-requests)。
## 审核和批准或拒绝更改请求(控制台)
以下过程介绍了如何使用 Systems Manager 控制台审核和批准或拒绝更改请求。
**审核和批准或拒绝更改请求**
1. 打开您收到的电子邮件通知中的链接,然后登录到 AWS 管理控制台,它将引导您转到供您审核的更改请求。
1. 在摘要页面中,审核更改请求的建议内容。
要批准更改请求,请选择 **Approve (批准)**。在对话框中,提供您要为此批准添加的任何注释,然后选择 **Approve (批准)**。此请求所代表的运行手册工作流将按计划开始运行,或在更改未被任何限制阻止时立即开始运行。
–或者–
要拒绝更改请求,请选择 **Reject (拒绝)**。在对话框中,提供您要为此拒绝添加的任何注释,然后选择 **Reject (拒绝)**。
**批量审核和批准或拒绝更改请求**
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,请选择 **Change Manager**。
1. 选择 **Approvals**(批准)选项卡。
1. (可选)通过选择每个请求的名称来查看等待批准的请求的详细信息,然后返回到 **Approvals**(批准)选项卡。
1. 选中要批准的每个更改请求的复选框。
–或者–
选中要拒绝的每个更改请求的复选框。
1. 在对话框中,提供您要为此批准或拒绝添加的任何注释。
1. 根据您是要批准还是拒绝选定的更改请求,选择 **Approve**(批准)或 **Reject**(拒绝)。
## 审核和批准或拒绝更改请求(命令行)
以下过程介绍了如何使用 AWS Command Line Interface(AWS CLI)(在 Linux、macOS 或 Windows Server 上)审核并批准或拒绝更改请求。
**审核和批准或拒绝更改请求**
1. 安装并配置 AWS Command Line Interface(AWS CLI)(如果尚未执行该操作)。
有关信息,请参阅[安装或更新 AWS CLI 的最新版本](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
1. 在您的本地计算机上创建一个 JSON 文件,该文件将为您的 AWS CLI 调用指定参数。
```
{
"OpsItemFilters":
[
{
"Key": "OpsItemType",
"Values": ["/aws/changerequest"],
"Operator": "Equal"
}
],
"MaxResults": number
}
```
您可以通过在该 JSON 文件中指定审批人员的 Amazon Resource Name (ARN) 来筛选特定审批人员的结果。见下列。
```
{
"OpsItemFilters":
[
{
"Key": "OpsItemType",
"Values": ["/aws/changerequest"],
"Operator": "Equal"
},
{
"Key": "ChangeRequestByApproverArn",
"Values": ["arn:aws:iam::account-id:user/user-name"],
"Operator": "Equal"
}
],
"MaxResults": number
}
```
1. 运行以下命令可以查看您在 JSON 文件中指定的最大更改请求数量。
------
#### [ Linux & macOS ]
```
aws ssm describe-ops-items \
--cli-input-json file://filename.json
```
------
#### [ Windows ]
```
aws ssm describe-ops-items ^
--cli-input-json file://filename.json
```
------
1. 运行以下命令可以批准或拒绝更改请求。
------
#### [ Linux & macOS ]
```
aws ssm send-automation-signal \
--automation-execution-id ID \
--signal-type Approve_or_Reject \
--payload Comment="message"
```
------
#### [ Windows ]
```
aws ssm send-automation-signal ^
--automation-execution-id ID ^
--signal-type Approve_or_Reject ^
--payload Comment="message"
```
------
如果已在您为请求选择的更改模板中指定了 Amazon SNS 主题,则当该请求被拒绝或批准时,系统会发送通知。如果您未收到有关该请求的通知,您可以返回到 Change Manager 以检查您的请求的状态。有关使用此命令时其他选项的信息,请参阅 **《AWS CLI Command Reference》的 AWS Systems Manager 部分中的 [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-automation-signal.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-automation-signal.html)。
# 审核更改请求详细信息、任务和时间表(控制台)
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
您可以在 Change Manager(AWS Systems Manager 中的一项工具)的控制面板中查看有关更改请求(包括已处理其更改的请求)的信息。这些详细信息包含一个链接,它指向运行进行更改的运行手册的自动化操作。在创建请求时会生成自动化执行 ID,但仅在获得所有批准并且没有部署任何阻止更改的限制的情况下,该流程才会运行。
**审核更改请求详细信息、任务和时间表**
1. 在导航窗格中,请选择 **Change Manager**。
1. 选择 **Requests (请求)** 选项卡。
1. 在 **Change requests (更改请求)** 部分中,搜索您要审核的更改请求。
您可以使用 **Create date range (创建日期范围)** 选项,将结果限制在特定时间段内。
您可以通过以下属性筛选请求:
+ `Status`
+ `Request ID`
+ `Approver`
+ `Requester`
例如,要查看有关在过去 24 小时内成功完成的所有更改请求的详细信息,请执行以下操作:
1. 对于 **Create date range (创建日期范围)**,请选择 **1d**。
1. 在搜索框中,选择 **Status (状态)、CompletedWithSuccess**。
1. 在结果中,选择要审核其结果的、已成功完成的更改请求的名称。
1. 在以下选项卡上查看有关更改请求的信息:
+ **Request details (请求详细信息)** - 查看有关更改请求的基本详细信息,包括请求者、更改模板,和为更改选择的自动化运行手册。您还可以访问指向自动化操作详细信息的链接,查看有关请求中指定的任何运行手册参数、分配给更改请求的 Amazon CloudWatch 告警以及为请求提供的批准和注释的信息。
+ **Task (任务)** - 查看有关更改中的任务的信息,包括已完成的更改请求的任务状态、目标资源、关联的自动化运行手册中的步骤,以及并发和错误阈值详细信息。
+ **Timeline (时间表)** - 查看与更改请求关联的所有事件的摘要,按日期和时间列出。该摘要将指明创建更改请求的时间、指定的审批人员的操作、已批准的更改请求计划运行时间的记录、运行手册工作流详细信息,以及运行手册中整个更改流程和每个步骤的状态变化。
+ **Associated events**(关联事件):查看有关在 [AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) 中记录的变更请求的可审批详细信息。详细信息包括运行了哪些 API 操作、这些操作包含的请求参数、运行操作的用户账户、在此过程中更新的资源等。
当您启用 CloudTrail Lake 事件跟踪时,CloudTrail Lake 会为与您的变更请求相关的事件创建事件数据存储。事件详细信息适用于提出变更请求的账户或组织。您可以通过账户或组织中的任何变更请求启用 CloudTrail Lake 事件跟踪。有关启用 CloudTrail Lake 集成和创建事件数据存储的信息,请参阅 [监控您的变更请求事件](monitoring-change-request-events.md)。
**注意**
使用 **CloudTrail Lake** 需要付费。有关详细信息,请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
# 查看更改请求的聚合计数(命令行)
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
您可以使用 [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html) API 操作,查看 Change Manager(AWS Systems Manager 中的一项工具)中更改请求的汇总计数。此 API 操作可以返回单个 AWS 区域中的单个 AWS 账户的计数,或者多个账户和多个区域的计数。
**注意**
如果您要查看多个 AWS 账户 和多个 AWS 区域 的聚合计数,必须设置和配置资源数据同步。有关更多信息,请参阅 [为 Inventory 创建资源数据同步](inventory-create-resource-data-sync.md)。
以下过程介绍了如何使用 AWS Command Line Interface(AWS CLI)(在 Linux、macOS 或 Windows Server 上)查看更改请求的聚合计数。
**查看更改请求的聚合计数**
1. 安装并配置 AWS Command Line Interface(AWS CLI)(如果尚未执行该操作)。
有关信息,请参阅[安装或更新 AWS CLI 的最新版本](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
1. 运行以下命令之一。
**Single account and Region (单个账户和区域)**
此命令将返回为其配置您的 AWS CLI 会话的 AWS 账户 和 AWS 区域 的所有更改请求的计数。
------
#### [ Linux & macOS ]
```
aws ssm get-ops-summary \
--filters Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal \
--aggregators AggregatorType=count,AttributeName=Status,TypeName=AWS:OpsItem
```
------
#### [ Windows ]
```
aws ssm get-ops-summary ^
--filters Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal ^
--aggregators AggregatorType=count,AttributeName=Status,TypeName=AWS:OpsItem
```
------
该调用将返回类似于以下内容的信息。
```
{
"Entities": [
{
"Data": {
"AWS:OpsItem": {
"Content": [
{
"Count": "38",
"Status": "Open"
}
]
}
}
}
]
}
```
**Multiple accounts and/or Regions (多个账户和/或区域)**
此命令将返回在资源数据同步中指定的 AWS 账户和 AWS 区域的所有更改请求的计数。
------
#### [ Linux & macOS ]
```
aws ssm get-ops-summary \
--sync-name resource_data_sync_name \
--filters Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal \
--aggregators AggregatorType=count,AttributeName=Status,TypeName=AWS:OpsItem
```
------
#### [ Windows ]
```
aws ssm get-ops-summary ^
--sync-name resource_data_sync_name ^
--filters Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal ^
--aggregators AggregatorType=count,AttributeName=Status,TypeName=AWS:OpsItem
```
------
该调用将返回类似于以下内容的信息。
```
{
"Entities": [
{
"Data": {
"AWS:OpsItem": {
"Content": [
{
"Count": "43",
"Status": "Open"
},
{
"Count": "2",
"Status": "Resolved"
}
]
}
}
}
]
}
```
**Multiple accounts and a specific Region (多个账户和某一特定区域)**
此命令将返回在资源数据同步中指定的 AWS 账户 的所有更改请求的计数。但是,它只会返回该命令中指定的区域中的数据。
------
#### [ Linux & macOS ]
```
aws ssm get-ops-summary \
--sync-name resource_data_sync_name \
--filters Key=AWS:OpsItem.SourceRegion,Values='Region',Type=Equal Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal \
--aggregators AggregatorType=count,AttributeName=Status,TypeName=AWS:OpsItem
```
------
#### [ Windows ]
```
aws ssm get-ops-summary ^
--sync-name resource_data_sync_name ^
--filters Key=AWS:OpsItem.SourceRegion,Values='Region',Type=Equal Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal ^
--aggregators AggregatorType=count,AttributeName=Status,TypeName=AWS:OpsItem
```
------
**Multiple accounts and Regions with output grouped by Region (输出按区域分组的多个账户和区域)**
此命令将返回在资源数据同步中指定的 AWS 账户和 AWS 区域的所有更改请求的计数。输出将显示每个区域的计数信息。
------
#### [ Linux & macOS ]
```
aws ssm get-ops-summary \
--sync-name resource_data_sync_name \
--filters Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal \
--aggregators '[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"Status","Aggregators":[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"SourceRegion"}]}]'
```
------
#### [ Windows ]
```
aws ssm get-ops-summary ^
--sync-name resource_data_sync_name ^
--filters Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal ^
--aggregators '[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"Status","Aggregators":[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"SourceRegion"}]}]'
```
------
该调用将返回类似于以下内容的信息。
```
{
"Entities": [
{
"Data": {
"AWS:OpsItem": {
"Content": [
{
"Count": "38",
"SourceRegion": "us-east-1",
"Status": "Open"
},
{
"Count": "4",
"SourceRegion": "us-east-2",
"Status": "Open"
},
{
"Count": "1",
"SourceRegion": "us-west-1",
"Status": "Open"
},
{
"Count": "2",
"SourceRegion": "us-east-2",
"Status": "Resolved"
}
]
}
}
}
]
}
```
**Multiple accounts and Regions with output grouped by accounts and Regions (输出按帐户和区域分组的多个账户和区域)**
此命令将返回在资源数据同步中指定的 AWS 账户 和 AWS 区域 的所有更改请求的计数。输出将按账户和区域对计数信息进行分组。
------
#### [ Linux & macOS ]
```
aws ssm get-ops-summary \
--sync-name resource_data_sync_name \
--filters Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal \
--aggregators '[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"Status","Aggregators":[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"SourceAccountId","Aggregators":[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"SourceRegion"}]}]}]'
```
------
#### [ Windows ]
```
aws ssm get-ops-summary ^
--sync-name resource_data_sync_name ^
--filters Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal ^
--aggregators '[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"Status","Aggregators":[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"SourceAccountId","Aggregators":[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"SourceRegion"}]}]}]'
```
------
该调用将返回类似于以下内容的信息。
```
{
"Entities": [
{
"Data": {
"AWS:OpsItem": {
"Content": [
{
"Count": "38",
"SourceAccountId": "123456789012",
"SourceRegion": "us-east-1",
"Status": "Open"
},
{
"Count": "4",
"SourceAccountId": "111122223333",
"SourceRegion": "us-east-2",
"Status": "Open"
},
{
"Count": "1",
"SourceAccountId": "111122223333",
"SourceRegion": "us-west-1",
"Status": "Open"
},
{
"Count": "2",
"SourceAccountId": "444455556666",
"SourceRegion": "us-east-2",
"Status": "Resolved"
},
{
"Count": "1",
"SourceAccountId": "222222222222",
"SourceRegion": "us-east-1",
"Status": "Open"
}
]
}
}
}
]
}
```