• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 Change Manager 的角色和許可
**Change Manager 可用性變更**
AWS Systems Manager Change Manager 自 2025 年 11 月 7 日起,不再向新客戶開放。如果您想要使用 Change Manager,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Systems Manager Change Manager可用性變更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
在預設情況下,Change Manager 沒有在您的資源上執行動作的許可。您必須使用 AWS Identity and Access Management (IAM) 服務角色或*擔任角色*來授予存取權。此角色可讓 Change Manager 代表您安全地執行在已核准變更請求中指定的 Runbook 工作流程。角色將 grant AWS Security Token Service (AWS STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 信任授予 Change Manager。
藉由向角色提供這些權限以代表組織中的使用者執行操作,使用者本身無需被授予該許可陣列。許可允許的動作僅限於已核准的操作。
當您的帳户或組織中的使用者建立變更請求時,他們可以選取此擔任角色來執行變更操作。
您可以為 Change Manager 建立新的擔任角色,或更新具備所需許可的現有角色。
如果您需要為 Change Manager 建立服務角色,請完成以下任務。
**Topics**
+ [任務 1:建立 Change Manager 的擔任角色策略](#change-manager-role-policy)
+ [任務 2:建立 Change Manager 的擔任角色](#change-manager-role)
+ [任務 3:將 `iam:PassRole` 策略連接至其他角色](#change-manager-passpolicy)
+ [任務 4:將內嵌政策新增至 擔任角色以叫用其他 AWS 服務](#change-manager-role-add-inline-policy)
+ [任務 5:設定使用者存取至 Change Manager](#change-manager-passrole)
## 任務 1:建立 Change Manager 的擔任角色策略
使用以下程序建立您將連接至 Change Manager 擔任角色的政策。
**若要建立 Change Manager 的擔任角色策略**
1. 在 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 中開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies (政策)**,然後選擇 **Create Policy (建立政策)**。
1. 在 **Create policy** (建立政策) 頁面上,選擇 **JSON** 標籤,並利用以下內容更換預設內容,即您將在以下步驟中修改您自己的 Change Manager 操作。
**注意**
如果您要建立政策以搭配單一 使用 AWS 帳戶,而不是具有多個帳戶的組織 AWS 區域,並且可以省略第一個陳述式區塊。在此使用 Change Manager 的單一帳户情況中,無須使用 `iam:PassRole` 許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/AWS-SystemsManager-job-functionAdministrationRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:StartChangeRequestExecution"
],
"Resource": [
"arn:aws:ssm:us-east-1::document/template-name",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:ListOpsItemEvents",
"ssm:GetOpsItem",
"ssm:ListDocuments",
"ssm:DescribeOpsItems"
],
"Resource": "*"
}
]
}
```
------
1. 對於 `iam:PassRole` 動作,請更新 `Resource` 值以包括為您組織定義之所有任務職能的 ARN,即您希望授與許可以啟動 Runbook 工作流程。
1. 將 *region*、*account-id*、*template-name*、*delegated-admin-account-id* 及 *job-function* 預留位置替換成您 Change Manager 操作的值。
1. 對於第二個 `Resource` 陳述式,修改列表以包括要授予許可的所有變更範本。或者,指定 `"Resource": "*"` 以向組織中的所有變更範本授與許可。
1. 選擇下**一步:標籤**。
1. (選用) 新增一個或多個標籤鍵值組來組織、追蹤或控制對此政策的存取。
1. 選擇下**一步:檢閱**。
1. 在 **Review policy** (檢閱政策) 頁面,在 **Name** (名稱) 方塊中輸入名稱 (如 **MyChangeManagerAssumeRole**),接著輸入選用描述。
1. 選擇 **Create policy** (建立政策),並繼續 [任務 2:建立 Change Manager 的擔任角色](#change-manager-role)。
## 任務 2:建立 Change Manager 的擔任角色
使用以下程序建立 Change Manager 的 Change Manager 擔任角色 (一種服務角色類型)。
**若要建立 Change Manager 的擔任角色**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 對於 **Select trusted entity** (選擇信任的實體),請執行以下選項:
1. 針對 **Trusted entity type** (信任的實體類型),請選擇 **AWS service** ( 服務)
1. 針對**其他的使用案例 AWS 服務**,選擇 **Systems Manager**
1. 選擇 **Systems Manager**,如下圖所示。
![\[螢幕擷取畫面說明選擇了 Systems Manager 選項作為使用案例。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)
1. 選擇**下一步**。
1. 在 **Attached permissions policy** (已連接許可政策) 頁面,搜尋您在 [任務 1:建立 Change Manager 的擔任角色策略](#change-manager-role-policy) 中建立的擔任角色政策,如 **MyChangeManagerAssumeRole**。
1. 選取擔任角色政策名稱旁的核取方塊,然後選擇 **Next: Tags** (下一步:標籤)。
1. 在 **Role name (角色名稱)** 中,輸入新執行個體設定檔的名稱,如 **MyChangeManagerAssumeRole**。
1. (選用) 對於 **Description** (說明),更新此執行個體角色的說明。
1. (選用) 新增一個或多個標籤鍵值組來組織、追蹤或控制對此角色的存取。
1. 選擇下**一步:檢閱**。
1. (選用) 對於 **Tags** (標籤),新增一個或多個標籤鍵值組來整理、追蹤或控制存取此角色的存取權,然後選擇 **Create role** (建立角色)。系統會讓您回到 **Roles (角色)** 頁面。
1. 選擇 **Create role** (建立角色)。系統會讓您回到 **Roles (角色)** 頁面。
1. 在 **Roles (角色)** 頁面,選擇您剛建立的角色,以開啟 **Summary (摘要)** 頁面。
## 任務 3:將 `iam:PassRole` 策略連接至其他角色
使用以下程序將 `iam:PassRole` 政策連接至 IAM 執行個體設定檔或 IAM 服務角色。(Systems Manager 服務使用 IAM 執行個體設定檔與 EC2 執行個體進行通訊。對於[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中的非 EC2 受管節點,則會改用 IAM 服務角色。)
連接 `iam:PassRole` 政策後,Change Manager 服務可以在執行執行手冊工作流程時將擔任角色許可傳送至其他服務或 Systems Manager 工具。
**將 `iam:PassRole` 政策連接至 IAM 執行個體設定檔或服務角色**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。
1. 搜尋您建立的 Change Manager 擔任角色 (例如 **MyChangeManagerAssumeRole**),並選擇其名稱。
1. 在擔任角色的 **Summary** (摘要) 頁面,選擇 **Permissions** (許可) 標籤。
1. 選擇 **Add permissions, Create inline policy** (新增許可,建立內嵌政策)。
1. 在 **Create policy (建立政策)** 頁面,選擇 **Visual editor (視覺化編輯器)** 標籤。
1. 選擇 **Service (服務)**,接著選擇 **IAM (IAM)**。
1. 在 **Filter actions** (篩選動作) 文字方塊中輸入 **PassRole**,接著選擇 **PassRole** 選項。
1. 展開 **Resources** (資源)。確認 **Specific (特定)** 已選取,接著選擇 **Add ARN (新增 ARN)**。
1. 在 **Specify ARN for role** (指定角色的 ARN) 欄位中,輸入要向其傳送擔任角色許可的 IAM 執行個體設定檔角色或 IAM 服務角色的 ARN。系統會填入 **Account (帳戶)** 和 **Role name with path (角色名稱與路徑)** 欄位。
1. 選擇 **Add (新增)**。
1. 選擇 **Review policy** (檢閱政策)。
1. 在 **Name** (名稱) 中,輸入名稱來識別政策,然後選擇 **Create policy** (建立政策)。
**詳細資訊**
+ [設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)
+ [在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色](hybrid-multicloud-service-role.md)
## 任務 4:將內嵌政策新增至 擔任角色以叫用其他 AWS 服務
當變更請求 AWS 服務 使用Change Manager擔任角色叫用其他 時,必須設定擔任角色並具有叫用這些服務的許可。此要求適用於可用於變更請求的所有 AWS Automation Runbook (AWS-\$1 Runbook),例如 `AWS-ConfigureS3BucketLogging`、 `AWS-CreateDynamoDBBackup`和 `AWS-RestartEC2Instance` Runbook。此要求也適用於您建立的任何自訂 Runbook, AWS 服務 透過使用呼叫其他 服務的動作來叫用其他 。例如,如果您使用 `aws:executeAwsApi`、`aws:CreateStack` 或 `aws:copyImage` 等動作,則您必須為服務角色設定可叫用這些服務的許可。您可將 IAM 內嵌政策新增至角色,以啟用其他 AWS 服務 的許可。
**將內嵌政策新增至擔任角色以叫用其他 AWS 服務 (IAM 主控台)**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格中,選擇**角色**。
1. 在清單中,請選擇您要更新的擔任角色名稱 (如 `MyChangeManagerAssumeRole`)。
1. 選擇**許可**索引標籤。
1. 選擇 **Add permissions, Create inline policy** (新增許可,建立內嵌政策)。
1. 選擇 **JSON** 標籤。
1. 輸入 AWS 服務 您要叫用的 的 JSON 政策文件。以下是兩個 JSON 政策文件範例。
**Amazon S3 `PutObject` 和 `GetObject` 範例**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
**Amazon EC2 `CreateSnapshot` 和 `DescribeSnapShots` 範例**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshot",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"ec2:DescribeSnapshots",
"Resource":"*"
}
]
}
```
------
如需 IAM 政策語言的詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
1. 完成時,請選擇 **Review policy (檢閱政策)**。[Policy Validator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) (政策檢查工具) 會回報任何語法錯誤。
1. 在 **Name** (名稱) 中,輸入名稱來識別您正在建立的政策。檢閱政策 **Summary** (摘要) 來查看您的政策所授予的許可。然後選擇 **Create policy (建立政策)** 來儲存您的工作。
1. 在您建立內嵌政策後,它會自動嵌入您的角色中。
## 任務 5:設定使用者存取至 Change Manager
如果使用者、群組或角色受獲指派管理員許可,則您可以存取 Change Manager。如果您沒有管理員許可,則管理員必須指派 `AmazonSSMFullAccess` 受管政策或提供相當許可的政策給使用者、群組或角色。
使用以下程序將使用者設定為使用 Change Manager。您選擇的使用者會擁有設定和執行 Change Manager 的許可。
視您在組織中使用的身分應用程式而定,
您可以選取三個可用於設定使用者存取權中的任何一個選項。設定使用者存取權時,指派或新增下列項目:
1. 指派 `AmazonSSMFullAccess` 政策或相當的政策,以授予存取 Systems Manager 的許可。
1. 指派 `iam:PassRole` 政策。
1. 新增您在 [任務 2:建立 Change Manager 的擔任角色](#change-manager-role) 結尾複製的 Change Manager 擔任角色的 ARN。
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
您已完成設定 Change Manager 所需的角色。您現在可以在 Change Manager 操作中使用 Change Manager 擔任角色 ARN。