• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 設定適用於組織的 Change Manager (管理帳戶) **Change Manager 可用性變更** AWS Systems Manager Change Manager 自 2025 年 11 月 7 日起,不再向新客戶開放。如果您想要使用 Change Manager,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Systems Manager Change Manager可用性變更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。 如果您使用 中的Change Manager工具 搭配 中設定的組織 AWS Systems Manager,則此主題中的任務適用 AWS Organizations。如果您Change Manager只想將 與單一 搭配使用 AWS 帳戶,請跳至主題 [設定 Change Manager 選項和最佳實務](change-manager-account-setup.md)。 在做為 Organizations *管理帳戶的* 中 AWS 帳戶 ,執行本節中的任務。如需管理帳戶和其他 Organizations 概念的相關資訊,請參閱 [AWS Organizations 術語與概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)。 如果您需要開啟 Organizations 並將帳戶指定為管理帳戶,然後再繼續進行,請參閱*《AWS Organizations 使用者指南》*中的[建立和管理組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)。 **注意** 無法在下列情況下執行此設定程序 AWS 區域: 歐洲 (米蘭) (eu-south-1) 中東 (巴林) (me-south-1) 非洲 (開普敦) (af-south-1) 亞太區域 (香港) (ap-east-1) 確保您在管理帳戶中的不同區域工作,以執行此程序。 在安裝程序期間,您需要在 Quick Setup ( AWS Systems Manager中的工具) 中執行下列主要任務。 + **任務 1:註冊貴組織的委派管理員帳戶** 使用 Change Manager 執行的變更相關任務可以您其中一個成員帳戶中進行管理,而您可將該帳戶指定為*委派管理員帳戶*。您註冊的 Change Manager 的委派管理員帳戶會成為您所有 Systems Manager 操作的委派管理員帳戶。(您可能已委派其他管理員帳戶) AWS 服務。您的 Change Manager 委派管理員帳戶 (與管理帳戶不同) 可管理整個組織的變更活動,包括變更範本、變更請求和每個核准。在委派管理員帳戶中,您也可以為 Change Manager 營運指定其他組態選項。 **重要** 委派管理員帳戶必須是在 Organizations 中指派給組織單位 (OU) 的唯一成員。 + **任務 2:定義並指定變更申請者角色或自訂任務函數的 Runbook 存取政策,且您要將其用於您的 Change Manager 操作** 若要在 中建立變更請求Change Manager,必須授予成員帳戶中的使用者 AWS Identity and Access Management (IAM) 許可,讓他們只能存取您選擇提供給他們的 Automation Runbook 和變更範本。 **注意** 當使用者建立變更請求時,他們會先選取變更範本。此變更範本可能會提供多個 Runbook,但使用者只能為每個變更要求選取一個 Runbook。變更範本也可以設定為允許使用者在其請求中包含任何可用的 Runbook。 若要授予所需的許可,Change Manager 會使用亦為 IAM 所用的*任務職能*的概念。然而,與 IAM 中的[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)不同,您可以指定您的 Change Manager 任務職能的名稱以及這些任務職能的 IAM 許可。 當您設定任務職能時,建議您建立自訂政策,並僅提供執行變更管理任務所需的權限。例如,您可能根據您定義的*任務職能*指定許可,以將使用者限制至特定的執行手冊組。 例如,您可以建立名為 `DBAdmin` 的任務職能。對於此任務職能,您僅可授予與 Amazon DynamoDB 資料庫相關的 Runbook 所需的許可,例如 `AWS-CreateDynamoDbBackup` 和 `AWSConfigRemediation-DeleteDynamoDbTable`。 作為另一個範例,您可能只想授予某些使用者使用與 Amazon Simple Storage Service (Amazon S3) 儲存貯體相關的 Runbook 所需的許可,例如 `AWS-ConfigureS3BucketLogging` 和 `AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock`。 Change Manager 的 Quick Setup 中的組態程序也會提供一組完整的 Systems Manager 系統管理許可,以供您套用至您建立的管理角色。 您部署的每個 Change Manager Quick Setup 組態會在您的委派管理員帳戶中建立具有許可的任務職能,以在您選取的組織單位中執行 Change Manager 範本和 Automation Runbook。您最多可以為 Change Manager 建立 15 個 Quick Setup 組態。 + **任務 3:選擇組織中要搭配 Change Manager 使用的成員帳戶** 您可以在 Organizations 設定的所有組織單位中以及其營運的所有 AWS 區域 中,搭配所有成員帳戶使用 Change Manager。如果您願意的話,您可以僅搭配部分組織單位使用 Change Manager。 **重要** 我們強烈建議您在開始此程序之前,先通讀其步驟,以了解您的組態選擇以及授予的許可。特別是規劃您要建立的自訂任務職能,以及您指派給每個任務職能的許可。這可確保當您稍後將您建立的任務職能政策連接到個別使用者、使用者群組或 IAM 角色時,只會授予您想要讓他們擁有的許可。 最佳實務是使用管理員的登入來設定委派 AWS 帳戶 管理員帳戶。然後在建立變更範本並識別每個範本使用的 Runbook 之後,設定任務職能及其許可。 若要設定與組織搭配使用的 Change Manager,請在 Systems Manager 主控台的 Quick Setup 區域中執行以下任務。 您可以針對您要為組織建立的每個任務職能重複此任務。您建立的每個任務職能擁有針對不同組織單位的許可。 **若要在 Organizations 管理帳戶中設定 Change Manager 的組織** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **Quick Setup**。 1. 在 **Change Manager** 卡上,選擇 **Create** (建立)。 1. 對於 **Delegated administrator account** (委派管理員帳戶),輸入您要用來管理變更範本、變更請求和 Change Manager 中的 Runbook 工作流程的 AWS 帳戶 的 ID。 如果您先前已為 Systems Manager 指定委派管理員帳戶,其 ID 已在此欄位中報告。 **重要** 委派管理員帳戶必須是在 Organizations 中指派給組織單位 (OU) 的唯一成員。 如果您註冊的委派管理員帳戶稍後會從該角色取消註冊,系統會同時移除其管理 Systems Manager 操作的許可。請注意,您需要返回 Quick Setup、指定不同的委派管理員帳戶,然後再次指定所有任務職能和許可。 如果您在整個組織中使用 Change Manager,我們建議始終從委派管理員帳戶進行變更。雖然您可以從組織中的其他帳戶進行變更,但這些變更將不會在受委派管理員帳戶中報告,也不可在其中檢視。 1. 在 **Permissions to request and make changes** (請求和進行變更的許可) 區段中,執行下列動作。 **注意** 您建立的每個部署組態只會針對一個任務職能提供許可政策。您可以稍後返回 Quick Setup,以便在您建立要用於操作的變更範本時,建立更多任務職能。 **若要建立管理員角色** – 對於對所有 AWS 動作具有 IAM 許可的管理員任務職能 動作,請執行下列動作。 **重要** 授予使用者完整的管理許可務必謹慎進行,且只有當他們的角色需要完整的 Systems Manager 存取權限時進行。如需 Systems Manager 存取之安全考量的重要資訊,請參閱 [適用於 AWS Systems Manager 的 Identity and Access Management](security-iam.md) 和 [Systems Manager 的安全最佳實務](security-best-practices.md)。 1. 對於 **Job function** (任務職能),輸入名稱以識別此角色及其許可,例如 **My AWS Admin**。 1. 對於 **Role and permissions option** (角色和許可選項),選擇 **Administrator permissions** (管理員許可)。 **若要建立其他任務職能** – 若要建立非管理角色,請執行下列動作: 1. 對於 **Job function** (任務職能),輸入名稱以識別此角色及建議其許可。您選擇的名稱應代表您將提供許可的 Runbook 範圍,例如 `DBAdmin` 或 `S3Admin`。 1. 對於 **Role and permissions option** (角色和許可選項),選擇 **Custom permissions** (自訂許可)。 1. 在 **Permissions policy editor** (許可政策編輯器) 中,以 JSON 格式輸入 IAM 許可,進而授與此任務職能。 **提示** 我們建議您使用 IAM 政策編輯器來建構政策,然後將政策 JSON 貼到 **Permissions policy** (許可政策) 欄位。 **範例政策:DynamoDB 資料庫管理** 例如,您可以從政策內容開始,提供使用任務職能需要存取的 Systems Manager 文件 (SSM 文件) 的許可。以下是在美國東部 (俄亥俄) 區域 () 中,授予與 DynamoDB 資料庫相關的所有 AWS 受管 Automation Runbook 的存取權 AWS 帳戶 `123456789012`,以及在範例中建立的兩個變更範本的範例政策內容`us-east-2`。 該政策也包含 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html) 操作的許可,這是在 Change Calendar 中建立變更請求所必需的。 **注意** 此範例並不全面。使用資料庫和節點等其他 AWS 資源時,可能需要其他許可。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:CreateDocument", "ssm:DescribeDocument", "ssm:DescribeDocumentParameters", "ssm:DescribeDocumentPermission", "ssm:GetDocument", "ssm:ListDocumentVersions", "ssm:ModifyDocumentPermission", "ssm:UpdateDocument", "ssm:UpdateDocumentDefaultVersion" ], "Resource": [ "arn:aws:ssm:us-east-1:*:document/AWS-CreateDynamoDbBackup", "arn:aws:ssm:us-east-1:*:document/AWS-AWS-DeleteDynamoDbBackup", "arn:aws:ssm:us-east-1:*:document/AWS-DeleteDynamoDbTableBackups", "arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-DeleteDynamoDbTable", "arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable", "arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable", "arn:aws:ssm:us-east-1:111122223333:document/MyFirstDBChangeTemplate", "arn:aws:ssm:us-east-1:111122223333:document/MySecondDBChangeTemplate" ] }, { "Effect": "Allow", "Action": "ssm:ListDocuments", "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:StartChangeRequestExecution", "Resource": [ "arn:aws:ssm:us-east-1:111122223333:document/*", "arn:aws:ssm:us-east-1:111122223333:automation-execution/*" ] } ] } ``` ------ 如需 IAM 政策的詳細資訊,請參閱《IAM 使用者指南》**中的 [AWS 資源的存取管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)和[建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。 1. 在 **Targets** (目標) 區段中,選擇要將您建立之任務職能的許可授予整個組織,還是只授予部分組織單位。 如果您選擇 **Entire organization** (整個組織),請繼續步驟 9。 如果選擇 **Custom** (自訂),請繼續步驟 8。 1. 在 **Target OUs** (目標 OU) 區段中,選取要搭配 Change Manager 使用之組織單位的核取方塊。 1. 選擇**建立**。 系統完成為您組織設定 Change Manager 後,它會顯示部署的摘要。此摘要資訊包含為您設定之任務職能建立的角色名稱。例如 `AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole`。 **注意** Quick Setup 使用 AWS CloudFormation StackSets 部署您的組態。您還可以在 CloudFormation 主控台中檢視有關已完成的部署組態的資訊。如需 StackSets 的相關資訊,請參閱*AWS CloudFormation 《 使用者指南*》中的[使用 AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)。 您的下一個步驟是設定其他 Change Manager 選項。您可以使用委派管理員帳戶或組織單位中允許搭配 Change Manager 使用的任何帳戶來完成此任務。您可以設定選項,例如選擇使用者身分識別管理選項、指定哪些使用者可以檢閱和核准或拒絕變更範本和變更請求,以及選擇允許您組織的最佳實務選項。如需相關資訊,請參閱[設定 Change Manager 選項和最佳實務](change-manager-account-setup.md)。