控制對自動核准 Runbook 工作流程的存取 - AWS Systems Manager

AWS Systems ManagerChange Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱AWS Systems ManagerChange Manager可用性變更

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

控制對自動核准 Runbook 工作流程的存取

Change Manager 可用性變更

AWS Systems ManagerChange Manager 自 2025 年 11 月 7 日起,不再向新客戶開放。如果您想要使用 Change Manager,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱AWS Systems ManagerChange Manager可用性變更

在為組織或帳戶建立的每個變更範本中,您可以指定從該範本建立的變更請求是否可以作為自動核准的變更請求來執行,這表示它們會在沒有檢閱步驟的情況下自動執行 (變更凍結事件除外)。

不過,您可能想要防止某些使用者、群組或 AWS Identity and Access Management (IAM) 角色執行自動核准的變更請求,即使變更範本允許也是一樣。您可以透過在指派給使用者、群組或 IAM 角色的 IAM 政策中使用 StartChangeRequestExecution 操作的 ssm:AutoApprove 條件金鑰,來執行此操作。

您可以將下列政策新增為內嵌政策,其中條件指定為false,可防止使用者執行可自動核准的變更請求。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
            {
            "Effect": "Allow",
            "Action": "ssm:StartChangeRequestExecution",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "ssm:AutoApprove": "false"
                }
            }
        }
    ]
}

如需有關指定內嵌政策的資訊,請參閱《IAM 使用者指南》中的內嵌政策新增和移除 IAM 身分許可

如需有關 Systems Manager 政策條件金鑰的詳細資訊,請參閱 Systems Manager 條件金鑰