• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 Change Manager
**Change Manager 可用性變更**
AWS Systems ManagerChange Manager 自 2025 年 11 月 7 日起,不再向新客戶開放。如果您想要使用 Change Manager,請在該日期之前註冊。現有客戶可以繼續正常使用服務。如需詳細資訊,請參閱[AWS Systems ManagerChange Manager可用性變更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
您可以使用 中的Change Manager工具 AWS Systems Manager來管理整個組織、 中所設定 AWS Organizations或單一組織的變更 AWS 帳戶。
如果您搭配組織使用 Change Manager,則可以主題 [設定適用於組織的 Change Manager (管理帳戶)](change-manager-organization-setup.md) 開始,然後繼續前往 [設定 Change Manager 選項和最佳實務](change-manager-account-setup.md)。
如果您搭配單一帳戶使用 Change Manager,請直接前往 [設定 Change Manager 選項和最佳實務](change-manager-account-setup.md)。
**注意**
如果您開始時是搭配單一帳戶使用 Change Manager,但該帳戶稍後會新增至 Change Manager 允許的組織單位中,則會忽略您的單一帳戶設定。
**Topics**
+ [設定適用於組織的 Change Manager (管理帳戶)](change-manager-organization-setup.md)
+ [設定 Change Manager 選項和最佳實務](change-manager-account-setup.md)
+ [設定 Change Manager 的角色和許可](change-manager-permissions.md)
+ [控制對自動核准 Runbook 工作流程的存取](change-manager-auto-approval-access.md)
# 設定適用於組織的 Change Manager (管理帳戶)
**Change Manager 可用性變更**
AWS Systems Manager Change Manager 自 2025 年 11 月 7 日起,不再向新客戶開放。如果您想要使用 Change Manager,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Systems Manager Change Manager可用性變更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
如果您使用 中的Change Manager工具 搭配 中設定的組織 AWS Systems Manager,則此主題中的任務適用 AWS Organizations。如果您Change Manager只想將 與單一 搭配使用 AWS 帳戶,請跳至主題 [設定 Change Manager 選項和最佳實務](change-manager-account-setup.md)。
在做為 Organizations *管理帳戶的* 中 AWS 帳戶 ,執行本節中的任務。如需管理帳戶和其他 Organizations 概念的相關資訊,請參閱 [AWS Organizations 術語與概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)。
如果您需要開啟 Organizations 並將帳戶指定為管理帳戶,然後再繼續進行,請參閱*《AWS Organizations 使用者指南》*中的[建立和管理組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)。
**注意**
無法在下列情況下執行此設定程序 AWS 區域:
歐洲 (米蘭) (eu-south-1)
中東 (巴林) (me-south-1)
非洲 (開普敦) (af-south-1)
亞太區域 (香港) (ap-east-1)
確保您在管理帳戶中的不同區域工作,以執行此程序。
在安裝程序期間,您需要在 Quick Setup ( AWS Systems Manager中的工具) 中執行下列主要任務。
+ **任務 1:註冊貴組織的委派管理員帳戶**
使用 Change Manager 執行的變更相關任務可以您其中一個成員帳戶中進行管理,而您可將該帳戶指定為*委派管理員帳戶*。您註冊的 Change Manager 的委派管理員帳戶會成為您所有 Systems Manager 操作的委派管理員帳戶。(您可能已委派其他管理員帳戶) AWS 服務。您的 Change Manager 委派管理員帳戶 (與管理帳戶不同) 可管理整個組織的變更活動,包括變更範本、變更請求和每個核准。在委派管理員帳戶中,您也可以為 Change Manager 營運指定其他組態選項。
**重要**
委派管理員帳戶必須是在 Organizations 中指派給組織單位 (OU) 的唯一成員。
+ **任務 2:定義並指定變更申請者角色或自訂任務函數的 Runbook 存取政策,且您要將其用於您的 Change Manager 操作**
若要在 中建立變更請求Change Manager,必須授予成員帳戶中的使用者 AWS Identity and Access Management (IAM) 許可,讓他們只能存取您選擇提供給他們的 Automation Runbook 和變更範本。
**注意**
當使用者建立變更請求時,他們會先選取變更範本。此變更範本可能會提供多個 Runbook,但使用者只能為每個變更要求選取一個 Runbook。變更範本也可以設定為允許使用者在其請求中包含任何可用的 Runbook。
若要授予所需的許可,Change Manager 會使用亦為 IAM 所用的*任務職能*的概念。然而,與 IAM 中的[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)不同,您可以指定您的 Change Manager 任務職能的名稱以及這些任務職能的 IAM 許可。
當您設定任務職能時,建議您建立自訂政策,並僅提供執行變更管理任務所需的權限。例如,您可能根據您定義的*任務職能*指定許可,以將使用者限制至特定的執行手冊組。
例如,您可以建立名為 `DBAdmin` 的任務職能。對於此任務職能,您僅可授予與 Amazon DynamoDB 資料庫相關的 Runbook 所需的許可,例如 `AWS-CreateDynamoDbBackup` 和 `AWSConfigRemediation-DeleteDynamoDbTable`。
作為另一個範例,您可能只想授予某些使用者使用與 Amazon Simple Storage Service (Amazon S3) 儲存貯體相關的 Runbook 所需的許可,例如 `AWS-ConfigureS3BucketLogging` 和 `AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock`。
Change Manager 的 Quick Setup 中的組態程序也會提供一組完整的 Systems Manager 系統管理許可,以供您套用至您建立的管理角色。
您部署的每個 Change Manager Quick Setup 組態會在您的委派管理員帳戶中建立具有許可的任務職能,以在您選取的組織單位中執行 Change Manager 範本和 Automation Runbook。您最多可以為 Change Manager 建立 15 個 Quick Setup 組態。
+ **任務 3:選擇組織中要搭配 Change Manager 使用的成員帳戶**
您可以在 Organizations 設定的所有組織單位中以及其營運的所有 AWS 區域 中,搭配所有成員帳戶使用 Change Manager。如果您願意的話,您可以僅搭配部分組織單位使用 Change Manager。
**重要**
我們強烈建議您在開始此程序之前,先通讀其步驟,以了解您的組態選擇以及授予的許可。特別是規劃您要建立的自訂任務職能,以及您指派給每個任務職能的許可。這可確保當您稍後將您建立的任務職能政策連接到個別使用者、使用者群組或 IAM 角色時,只會授予您想要讓他們擁有的許可。
最佳實務是使用管理員的登入來設定委派 AWS 帳戶 管理員帳戶。然後在建立變更範本並識別每個範本使用的 Runbook 之後,設定任務職能及其許可。
若要設定與組織搭配使用的 Change Manager,請在 Systems Manager 主控台的 Quick Setup 區域中執行以下任務。
您可以針對您要為組織建立的每個任務職能重複此任務。您建立的每個任務職能擁有針對不同組織單位的許可。
**若要在 Organizations 管理帳戶中設定 Change Manager 的組織**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Quick Setup**。
1. 在 **Change Manager** 卡上,選擇 **Create** (建立)。
1. 對於 **Delegated administrator account** (委派管理員帳戶),輸入您要用來管理變更範本、變更請求和 Change Manager 中的 Runbook 工作流程的 AWS 帳戶 的 ID。
如果您先前已為 Systems Manager 指定委派管理員帳戶,其 ID 已在此欄位中報告。
**重要**
委派管理員帳戶必須是在 Organizations 中指派給組織單位 (OU) 的唯一成員。
如果您註冊的委派管理員帳戶稍後會從該角色取消註冊,系統會同時移除其管理 Systems Manager 操作的許可。請注意,您需要返回 Quick Setup、指定不同的委派管理員帳戶,然後再次指定所有任務職能和許可。
如果您在整個組織中使用 Change Manager,我們建議始終從委派管理員帳戶進行變更。雖然您可以從組織中的其他帳戶進行變更,但這些變更將不會在受委派管理員帳戶中報告,也不可在其中檢視。
1. 在 **Permissions to request and make changes** (請求和進行變更的許可) 區段中,執行下列動作。
**注意**
您建立的每個部署組態只會針對一個任務職能提供許可政策。您可以稍後返回 Quick Setup,以便在您建立要用於操作的變更範本時,建立更多任務職能。
**若要建立管理員角色** – 對於對所有 AWS 動作具有 IAM 許可的管理員任務職能 動作,請執行下列動作。
**重要**
授予使用者完整的管理許可務必謹慎進行,且只有當他們的角色需要完整的 Systems Manager 存取權限時進行。如需 Systems Manager 存取之安全考量的重要資訊,請參閱 [適用於 AWS Systems Manager 的 Identity and Access Management](security-iam.md) 和 [Systems Manager 的安全最佳實務](security-best-practices.md)。
1. 對於 **Job function** (任務職能),輸入名稱以識別此角色及其許可,例如 **My AWS Admin**。
1. 對於 **Role and permissions option** (角色和許可選項),選擇 **Administrator permissions** (管理員許可)。
**若要建立其他任務職能** – 若要建立非管理角色,請執行下列動作:
1. 對於 **Job function** (任務職能),輸入名稱以識別此角色及建議其許可。您選擇的名稱應代表您將提供許可的 Runbook 範圍,例如 `DBAdmin` 或 `S3Admin`。
1. 對於 **Role and permissions option** (角色和許可選項),選擇 **Custom permissions** (自訂許可)。
1. 在 **Permissions policy editor** (許可政策編輯器) 中,以 JSON 格式輸入 IAM 許可,進而授與此任務職能。
**提示**
我們建議您使用 IAM 政策編輯器來建構政策,然後將政策 JSON 貼到 **Permissions policy** (許可政策) 欄位。
**範例政策:DynamoDB 資料庫管理**
例如,您可以從政策內容開始,提供使用任務職能需要存取的 Systems Manager 文件 (SSM 文件) 的許可。以下是在美國東部 (俄亥俄) 區域 () 中,授予與 DynamoDB 資料庫相關的所有 AWS 受管 Automation Runbook 的存取權 AWS 帳戶 `123456789012`,以及在範例中建立的兩個變更範本的範例政策內容`us-east-2`。
該政策也包含 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html) 操作的許可,這是在 Change Calendar 中建立變更請求所必需的。
**注意**
此範例並不全面。使用資料庫和節點等其他 AWS 資源時,可能需要其他許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:DescribeDocument",
"ssm:DescribeDocumentParameters",
"ssm:DescribeDocumentPermission",
"ssm:GetDocument",
"ssm:ListDocumentVersions",
"ssm:ModifyDocumentPermission",
"ssm:UpdateDocument",
"ssm:UpdateDocumentDefaultVersion"
],
"Resource": [
"arn:aws:ssm:us-east-1:*:document/AWS-CreateDynamoDbBackup",
"arn:aws:ssm:us-east-1:*:document/AWS-AWS-DeleteDynamoDbBackup",
"arn:aws:ssm:us-east-1:*:document/AWS-DeleteDynamoDbTableBackups",
"arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-DeleteDynamoDbTable",
"arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable",
"arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable",
"arn:aws:ssm:us-east-1:111122223333:document/MyFirstDBChangeTemplate",
"arn:aws:ssm:us-east-1:111122223333:document/MySecondDBChangeTemplate"
]
},
{
"Effect": "Allow",
"Action": "ssm:ListDocuments",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ssm:StartChangeRequestExecution",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
}
]
}
```
------
如需 IAM 政策的詳細資訊,請參閱《IAM 使用者指南》**中的 [AWS 資源的存取管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)和[建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
1. 在 **Targets** (目標) 區段中,選擇要將您建立之任務職能的許可授予整個組織,還是只授予部分組織單位。
如果您選擇 **Entire organization** (整個組織),請繼續步驟 9。
如果選擇 **Custom** (自訂),請繼續步驟 8。
1. 在 **Target OUs** (目標 OU) 區段中,選取要搭配 Change Manager 使用之組織單位的核取方塊。
1. 選擇**建立**。
系統完成為您組織設定 Change Manager 後,它會顯示部署的摘要。此摘要資訊包含為您設定之任務職能建立的角色名稱。例如 `AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole`。
**注意**
Quick Setup 使用 AWS CloudFormation StackSets 部署您的組態。您還可以在 CloudFormation 主控台中檢視有關已完成的部署組態的資訊。如需 StackSets 的相關資訊,請參閱*AWS CloudFormation 《 使用者指南*》中的[使用 AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)。
您的下一個步驟是設定其他 Change Manager 選項。您可以使用委派管理員帳戶或組織單位中允許搭配 Change Manager 使用的任何帳戶來完成此任務。您可以設定選項,例如選擇使用者身分識別管理選項、指定哪些使用者可以檢閱和核准或拒絕變更範本和變更請求,以及選擇允許您組織的最佳實務選項。如需相關資訊,請參閱[設定 Change Manager 選項和最佳實務](change-manager-account-setup.md)。
# 設定 Change Manager 選項和最佳實務
**Change Manager 可用性變更**
AWS Systems Manager Change Manager 自 2025 年 11 月 7 日起,不再向新客戶開放。如果您想要使用 Change Manager,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Systems Manager Change Manager可用性變更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
無論您使用 Change Manager、 中的工具 AWS Systems Manager、跨組織或單一 ,都必須執行本節中的任務 AWS 帳戶。
如果您使用的適用於組織的 Change Manager,您可以在委派管理員帳戶中或組織單位中允許搭配 Change Manager 使用的任何帳戶中執行下列任務。
**Topics**
+ [任務 1:設定 Change Manager 使用者身分識別管理和範本檢閱者](#cm-configure-account-task-1)
+ [任務 2:設定 Change Manager 變更凍結事件核准者和最佳實務](#cm-configure-account-task-2)
+ [為 Change Manager 通知設定 Amazon SNS 主題](change-manager-sns-setup.md)
## 任務 1:設定 Change Manager 使用者身分識別管理和範本檢閱者
在您第一次存取 Change Manager 時在此程序中執行任務。您可以稍後返回 Change Manager 並選擇 **Settings** (設定) 標籤上的 **Edit** (編輯),進而更新這些組態設定。
**若要設定 Change Manager 使用者身分識別管理和範本檢閱者**
1. 登入 AWS 管理主控台。
如果您使用的是適用於組織的 Change Manager,請使用您的委派管理員帳戶的憑證登入。使用者必須擁有必要的 AWS Identity and Access Management (IAM) 許可,以便更新 Change Manager 設定。
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Change Manager**。
1. 在服務首頁上,根據可用的選項執行下列其中一項操作:
+ 如果您使用 Change Manager搭配 AWS Organizations ,請選擇**設定委派帳戶**。
+ 如果您使用 Change Manager搭配單一 AWS 帳戶,請選擇**設定 Change Manager**。
-或-
選擇 **Create sample change request** (建立範例變更請求)、**Skip** (略過),然後選擇 **Settings** (設定) 標籤。
1. 對於 **User identity management** (使用者身分識別管理),選擇下列其中一項。
+ **AWS Identity and Access Management (IAM)** – Change Manager識別提出和核准請求的使用者,並使用您現有的使用者、群組和角色在 中執行其他動作。
+ **AWS IAM Identity Center (IAM Identity Center)** – 允許 [IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/) 建立和管理身分,或連線到現有的身分來源,以識別在 中執行動作的使用者Change Manager。
1. 在 **Template reviewer notification** (範本檢閱者通知) 區段中,指定 Amazon Simple Notification Service (Amazon SNS) 主題,以便通知範本檢閱者新的變更範本或變更範本版本已準備好接受檢閱。確保您選擇的 Amazon SNS 主題已設定為傳送通知給範本檢閱者。
如需有關針對變更範本檢閱者通知而建立和設定 Amazon SNS 主題的資訊,請參閱 [為 Change Manager 通知設定 Amazon SNS 主題](change-manager-sns-setup.md)。
1. 若要指定範本檢閱者通知的 Amazon SNS 主題,請選擇下列其中一項:
+ **Enter an SNS Amazon Resource Name (ARN)** (輸入 SNS Amazon 資源名稱 (ARN)) – 對於 **Topic ARN** (主題 ARN),輸入現有 Amazon SNS 主題的 ARN。此主題可以位於您組織的任何帳戶中。
+ **選取現有的 SNS 主題** – 對於 **Target notification topic** (目標通知主題) 中,選取您目前 AWS 帳戶中的現有 Amazon SNS 主題的 ARN。(如果您尚未在目前的 AWS 帳戶 和 中建立任何 Amazon SNS 主題,則無法使用此選項 AWS 區域。)
**注意**
您選取的 Amazon SNS 主題必須設定為指定其傳送的通知以及要傳送的訂閱者。其存取政策也必須將許可授予 Systems Manager,以便 Change Manager 可以傳送通知。如需相關資訊,請參閱[為 Change Manager 通知設定 Amazon SNS 主題](change-manager-sns-setup.md)。
1. 選擇 **Add notification** (新增通知)。
1. 在 **Change template reviewers** (變更範本檢閱者) 區段中,選取組織或帳戶中的使用者,以檢閱新的變更範本或變更範本版本,然後再將其用於您的營運中。
變更範本檢閱者負責驗證其他使用者已提交供 Change Manager Runbook 工作流程使用之範本的適用性和安全性。
透過執行下列動作來選取變更範本檢閱者:
1. 選擇**新增**。
1. 選取您要指派為變更範本檢閱者之各個使用者、群組或 IAM 角色名稱旁的核取方塊。
1. 選擇 **Add approvers** (新增核准者)。
1. 選擇**提交**。
完成此初始安裝程序之後,請遵循 [任務 2:設定 Change Manager 變更凍結事件核准者和最佳實務](#cm-configure-account-task-2) 中的步驟設定其他 Change Manager 設定和最佳實務。
## 任務 2:設定 Change Manager 變更凍結事件核准者和最佳實務
在您完成 [任務 1:設定 Change Manager 使用者身分識別管理和範本檢閱者](#cm-configure-account-task-1) 中的步驟後,您可以指定*變更凍結事件*期間的變更請求的額外檢閱者,並指定您希望允許用於 Change Manager 營運的最佳實務。
變更凍結事件表示限制在目前的變更行事曆中 ( 中的 AWS Systems Manager Change Calendar行事曆狀態為 `CLOSED`)。在這些情況下,除了變更請求的一般核准者之外,或者如果使用允許自動核准的範本建立變更請求,則變更凍結核准者必須授予執行此變更請求的許可。如果沒有,則無法處理變更,直至行事曆狀態再次變為 `OPEN`。
**若要設定 Change Manager 變更凍結事件核准者和最佳實務**
1. 在導覽窗格中,選擇 **Change Manager**。
1. 選擇 **Settings** (設定) 標籤,然後選擇 **Edit** (編輯)。
1. 在 **Approvers for change freeze events** (變更凍結事件的核准者) 區段中,選取組織或帳戶中可核准變更的使用者,即使在 Change Calendar 中使用的行事曆目前已關閉。
**注意**
若要允許變更凍結檢閱,您必須開啟 **Best practices** (最佳實務) 中的 **Check Change Calendar for restricted change events** (檢查變更行事曆是否有限制變更事件) 選項。
執行下列動作,以選取變更凍結事件的核准者:
1. 選擇**新增**。
1. 選取您要指派為變更凍結事件的核准者之各個使用者、群組或 IAM 角色名稱旁的核取方塊。
1. 選擇 **Add approvers** (新增核准者)。
1. 在頁面底部附近的 **Best practices** (最佳實務) 區段中,開啟您要針對下列每個選項強制執行的最佳實務。
+ 選項:**Check Change Calendar for restricted change events** (檢查變更行事曆是否有限制變更事件)
若要指定 Change Manager 檢查 Change Calendar 中的行事曆,以確保變更不會被排程事件封鎖,請先選取 **Enabled** (已啟用) 核取方塊,然後從 **Change Calendar** (變更行事曆) 清單中選取行事曆以檢查是否有限制事件。
如需有關 Change Calendar 的詳細資訊,請參閱「[AWS Systems Manager Change Calendar](systems-manager-change-calendar.md)」。
+ 選項:**SNS topic for approvers for closed events** (已關閉事件的核准者的 SNS 主題)
1. 選擇下列其中一項,指定帳戶中的 Amazon Simple Notification Service (Amazon SNS) 主題,以便在變更凍結事件期間傳送通知給核准者。(請注意,您也必須在上述 **Best practices** (最佳實務) 的 **Approvers for change freeze events** (變更凍結事件的核准者) 中指定核准者。)
+ **Enter an SNS Amazon Resource Name (ARN)** (輸入 SNS Amazon 資源名稱 (ARN)) – 對於 **Topic ARN** (主題 ARN),輸入現有 Amazon SNS 主題的 ARN。此主題可以位於您組織的任何帳戶中。
+ **選取現有的 SNS 主題** – 對於 **Target notification topic** (目標通知主題) 中,選取您目前 AWS 帳戶中的現有 Amazon SNS 主題的 ARN。(如果您尚未在目前的 AWS 帳戶 和 中建立任何 Amazon SNS 主題,則無法使用此選項 AWS 區域。)
**注意**
您選取的 Amazon SNS 主題必須設定為指定其傳送的通知以及要傳送的訂閱者。其存取政策也必須將許可授予 Systems Manager,以便 Change Manager 可以傳送通知。如需相關資訊,請參閱[為 Change Manager 通知設定 Amazon SNS 主題](change-manager-sns-setup.md)。
1. 選擇 **Add notification** (新增通知)。
+ 選項:**Require monitors for all templates** (需要監控所有範本)
如果您想要確保組織或帳戶的所有範本都指定了 Amazon CloudWatch 警示來監控變更操作,則請選取 **Enabled** (已啟用) 核取方塊。
+ 選項:**Require template review and approval before use** (使用前需要範本檢閱和核准)
若要確保不會建立任何變更要求,且不會執行 Runbook 工作流程,而不會以已檢閱和已核准的範本為基礎,請選取 **Enabled** (已啟用) 核取方塊。
1. 選擇**儲存**。
# 為 Change Manager 通知設定 Amazon SNS 主題
**Change Manager 可用性變更**
AWS Systems Manager Change Manager 自 2025 年 11 月 7 日起,不再向新客戶開放。如果您想要使用 Change Manager,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Systems Manager Change Manager可用性變更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
您可以設定 中的Change Manager工具 AWS Systems Manager,針對與變更請求和變更範本相關的事件傳送通知至 Amazon Simple Notification Service (Amazon SNS) 主題。完成下列任務,以接收您新增主題的 Change Manager 事件的通知。
**Topics**
+ [任務 1:建立並訂閱 Amazon SNS 主題](#change-manager-sns-setup-create-topic)
+ [任務 2:更新 Amazon SNS 存取政策](#change-manager-sns-setup-encryption-policy)
+ [任務 3:(選用) 更新 AWS Key Management Service 存取政策](#change-manager-sns-setup-KMS-policy)
## 任務 1:建立並訂閱 Amazon SNS 主題
首先,您必須建立並訂閱 Amazon SNS 主題。如需詳細資訊,請參閱《*Amazon Simple Notification Service 開發人員指南*》中的[建立 Amazon SNS 主題](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)和[訂閱 Amazon SNS 主題](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)。
**注意**
若要接收通知,您必須指定與委派管理員帳戶位於相同 AWS 區域 和 中的 Amazon SNS 主題的 Amazon Resource Name AWS 帳戶 (ARN)。
## 任務 2:更新 Amazon SNS 存取政策
使用下列程序更新 Amazon SNS 存取政策,讓 Systems Manager 可以將 Change Manager 通知發佈至您在任務 1 中建立的 Amazon SNS 主題。如果不完成此任務,Change Manager 沒有為您新增主題的事件傳送通知的許可。
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home) 的 Amazon SNS 主控台。
1. 在導覽窗格中,選擇**主題**。
1. 選擇您在任務 1 中建立的主題,然後選擇 **Edit** (編輯)。
1. 展開 **Access policy (存取政策)**。
1. 新增並更新下列 `Sid` 區塊至現有政策,並使用自己的資訊取代每個*使用者輸入預留位置*。
```
{
"Sid": "Allow Change Manager to publish to this topic",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:region:account-id:topic-name",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"account-id"
]
}
}
}
```
在現有 `Sid` 區塊後輸入此區塊,並將 *region*、*account-id* 和 *topic\$1name* 取代為您建立之主題的適當值。
1. 選擇**儲存變更**。
現在,當您新增至主題的事件類型發生時,系統會傳送通知給 Amazon SNS 主題。
**重要**
如果您使用 AWS Key Management Service (AWS KMS) 伺服器端加密金鑰設定 Amazon SNS 主題,則必須完成任務 3。
## 任務 3:(選用) 更新 AWS Key Management Service 存取政策
如果您開啟 Amazon SNS 主題的 AWS Key Management Service (AWS KMS) 伺服器端加密,則還必須更新 AWS KMS key 您在設定主題時所選 的存取政策。使用下列處理程序更新存取政策,讓 Systems Manager 可以將 Change Manager 核准通知發佈至您在任務 1 中建立的 Amazon SNS 主題。
1. 在 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。
1. 在導覽窗格中,選擇 **Customer managed keys** (客戶受管金鑰)。
1. 選擇您在建立主題時所選擇的客戶受管金鑰的 ID。
1. 在 **Key policy (金鑰政策)** 區段中,選擇 **Switch to policy view (切換至政策檢視)**。
1. 選擇**編輯**。
1. 在現有政策中的某個現有 `Sid` 區塊後輸入以下 `Sid` 區塊。將每個*使用者輸入預留位置*替換為自己的資訊。
```
{
"Sid": "Allow Change Manager to decrypt the key",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"account-id"
]
}
}
}
```
1. 現在在資源政策中的某個現有 `Sid` 區塊之後輸入以下 `Sid` 區塊以協助防止[跨服務混淆代理人問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。
此區塊使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全域條件內容索引鍵,可限制 Systems Manager 為資源提供其他服務的許可。
將每個*使用者輸入預留位置*取代為自己的資訊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:us-east-1:111122223333:topic-name",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ssm:us-east-1:111122223333:*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
1. 選擇**儲存變更**。
# 設定 Change Manager 的角色和許可
**Change Manager 可用性變更**
AWS Systems Manager Change Manager 自 2025 年 11 月 7 日起,不再向新客戶開放。如果您想要使用 Change Manager,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Systems Manager Change Manager可用性變更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
在預設情況下,Change Manager 沒有在您的資源上執行動作的許可。您必須使用 AWS Identity and Access Management (IAM) 服務角色或*擔任角色*來授予存取權。此角色可讓 Change Manager 代表您安全地執行在已核准變更請求中指定的 Runbook 工作流程。角色將 grant AWS Security Token Service (AWS STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 信任授予 Change Manager。
藉由向角色提供這些權限以代表組織中的使用者執行操作,使用者本身無需被授予該許可陣列。許可允許的動作僅限於已核准的操作。
當您的帳户或組織中的使用者建立變更請求時,他們可以選取此擔任角色來執行變更操作。
您可以為 Change Manager 建立新的擔任角色,或更新具備所需許可的現有角色。
如果您需要為 Change Manager 建立服務角色,請完成以下任務。
**Topics**
+ [任務 1:建立 Change Manager 的擔任角色策略](#change-manager-role-policy)
+ [任務 2:建立 Change Manager 的擔任角色](#change-manager-role)
+ [任務 3:將 `iam:PassRole` 策略連接至其他角色](#change-manager-passpolicy)
+ [任務 4:將內嵌政策新增至 擔任角色以叫用其他 AWS 服務](#change-manager-role-add-inline-policy)
+ [任務 5:設定使用者存取至 Change Manager](#change-manager-passrole)
## 任務 1:建立 Change Manager 的擔任角色策略
使用以下程序建立您將連接至 Change Manager 擔任角色的政策。
**若要建立 Change Manager 的擔任角色策略**
1. 在 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 中開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies (政策)**,然後選擇 **Create Policy (建立政策)**。
1. 在 **Create policy** (建立政策) 頁面上,選擇 **JSON** 標籤,並利用以下內容更換預設內容,即您將在以下步驟中修改您自己的 Change Manager 操作。
**注意**
如果您要建立政策以搭配單一 使用 AWS 帳戶,而不是具有多個帳戶的組織 AWS 區域,並且可以省略第一個陳述式區塊。在此使用 Change Manager 的單一帳户情況中,無須使用 `iam:PassRole` 許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/AWS-SystemsManager-job-functionAdministrationRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:StartChangeRequestExecution"
],
"Resource": [
"arn:aws:ssm:us-east-1::document/template-name",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:ListOpsItemEvents",
"ssm:GetOpsItem",
"ssm:ListDocuments",
"ssm:DescribeOpsItems"
],
"Resource": "*"
}
]
}
```
------
1. 對於 `iam:PassRole` 動作,請更新 `Resource` 值以包括為您組織定義之所有任務職能的 ARN,即您希望授與許可以啟動 Runbook 工作流程。
1. 將 *region*、*account-id*、*template-name*、*delegated-admin-account-id* 及 *job-function* 預留位置替換成您 Change Manager 操作的值。
1. 對於第二個 `Resource` 陳述式,修改列表以包括要授予許可的所有變更範本。或者,指定 `"Resource": "*"` 以向組織中的所有變更範本授與許可。
1. 選擇下**一步:標籤**。
1. (選用) 新增一個或多個標籤鍵值組來組織、追蹤或控制對此政策的存取。
1. 選擇下**一步:檢閱**。
1. 在 **Review policy** (檢閱政策) 頁面,在 **Name** (名稱) 方塊中輸入名稱 (如 **MyChangeManagerAssumeRole**),接著輸入選用描述。
1. 選擇 **Create policy** (建立政策),並繼續 [任務 2:建立 Change Manager 的擔任角色](#change-manager-role)。
## 任務 2:建立 Change Manager 的擔任角色
使用以下程序建立 Change Manager 的 Change Manager 擔任角色 (一種服務角色類型)。
**若要建立 Change Manager 的擔任角色**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 對於 **Select trusted entity** (選擇信任的實體),請執行以下選項:
1. 針對 **Trusted entity type** (信任的實體類型),請選擇 **AWS service** ( 服務)
1. 針對**其他的使用案例 AWS 服務**,選擇 **Systems Manager**
1. 選擇 **Systems Manager**,如下圖所示。
![\[螢幕擷取畫面說明選擇了 Systems Manager 選項作為使用案例。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)
1. 選擇**下一步**。
1. 在 **Attached permissions policy** (已連接許可政策) 頁面,搜尋您在 [任務 1:建立 Change Manager 的擔任角色策略](#change-manager-role-policy) 中建立的擔任角色政策,如 **MyChangeManagerAssumeRole**。
1. 選取擔任角色政策名稱旁的核取方塊,然後選擇 **Next: Tags** (下一步:標籤)。
1. 在 **Role name (角色名稱)** 中,輸入新執行個體設定檔的名稱,如 **MyChangeManagerAssumeRole**。
1. (選用) 對於 **Description** (說明),更新此執行個體角色的說明。
1. (選用) 新增一個或多個標籤鍵值組來組織、追蹤或控制對此角色的存取。
1. 選擇下**一步:檢閱**。
1. (選用) 對於 **Tags** (標籤),新增一個或多個標籤鍵值組來整理、追蹤或控制存取此角色的存取權,然後選擇 **Create role** (建立角色)。系統會讓您回到 **Roles (角色)** 頁面。
1. 選擇 **Create role** (建立角色)。系統會讓您回到 **Roles (角色)** 頁面。
1. 在 **Roles (角色)** 頁面,選擇您剛建立的角色,以開啟 **Summary (摘要)** 頁面。
## 任務 3:將 `iam:PassRole` 策略連接至其他角色
使用以下程序將 `iam:PassRole` 政策連接至 IAM 執行個體設定檔或 IAM 服務角色。(Systems Manager 服務使用 IAM 執行個體設定檔與 EC2 執行個體進行通訊。對於[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中的非 EC2 受管節點,則會改用 IAM 服務角色。)
連接 `iam:PassRole` 政策後,Change Manager 服務可以在執行執行手冊工作流程時將擔任角色許可傳送至其他服務或 Systems Manager 工具。
**將 `iam:PassRole` 政策連接至 IAM 執行個體設定檔或服務角色**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。
1. 搜尋您建立的 Change Manager 擔任角色 (例如 **MyChangeManagerAssumeRole**),並選擇其名稱。
1. 在擔任角色的 **Summary** (摘要) 頁面,選擇 **Permissions** (許可) 標籤。
1. 選擇 **Add permissions, Create inline policy** (新增許可,建立內嵌政策)。
1. 在 **Create policy (建立政策)** 頁面,選擇 **Visual editor (視覺化編輯器)** 標籤。
1. 選擇 **Service (服務)**,接著選擇 **IAM (IAM)**。
1. 在 **Filter actions** (篩選動作) 文字方塊中輸入 **PassRole**,接著選擇 **PassRole** 選項。
1. 展開 **Resources** (資源)。確認 **Specific (特定)** 已選取,接著選擇 **Add ARN (新增 ARN)**。
1. 在 **Specify ARN for role** (指定角色的 ARN) 欄位中,輸入要向其傳送擔任角色許可的 IAM 執行個體設定檔角色或 IAM 服務角色的 ARN。系統會填入 **Account (帳戶)** 和 **Role name with path (角色名稱與路徑)** 欄位。
1. 選擇 **Add (新增)**。
1. 選擇 **Review policy** (檢閱政策)。
1. 在 **Name** (名稱) 中,輸入名稱來識別政策,然後選擇 **Create policy** (建立政策)。
**詳細資訊**
+ [設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)
+ [在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色](hybrid-multicloud-service-role.md)
## 任務 4:將內嵌政策新增至 擔任角色以叫用其他 AWS 服務
當變更請求 AWS 服務 使用Change Manager擔任角色叫用其他 時,必須設定擔任角色並具有叫用這些服務的許可。此要求適用於可用於變更請求的所有 AWS Automation Runbook (AWS-\$1 Runbook),例如 `AWS-ConfigureS3BucketLogging`、 `AWS-CreateDynamoDBBackup`和 `AWS-RestartEC2Instance` Runbook。此要求也適用於您建立的任何自訂 Runbook, AWS 服務 透過使用呼叫其他 服務的動作來叫用其他 。例如,如果您使用 `aws:executeAwsApi`、`aws:CreateStack` 或 `aws:copyImage` 等動作,則您必須為服務角色設定可叫用這些服務的許可。您可將 IAM 內嵌政策新增至角色,以啟用其他 AWS 服務 的許可。
**將內嵌政策新增至擔任角色以叫用其他 AWS 服務 (IAM 主控台)**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格中,選擇**角色**。
1. 在清單中,請選擇您要更新的擔任角色名稱 (如 `MyChangeManagerAssumeRole`)。
1. 選擇**許可**索引標籤。
1. 選擇 **Add permissions, Create inline policy** (新增許可,建立內嵌政策)。
1. 選擇 **JSON** 標籤。
1. 輸入 AWS 服務 您要叫用的 的 JSON 政策文件。以下是兩個 JSON 政策文件範例。
**Amazon S3 `PutObject` 和 `GetObject` 範例**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
**Amazon EC2 `CreateSnapshot` 和 `DescribeSnapShots` 範例**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshot",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"ec2:DescribeSnapshots",
"Resource":"*"
}
]
}
```
------
如需 IAM 政策語言的詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
1. 完成時,請選擇 **Review policy (檢閱政策)**。[Policy Validator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) (政策檢查工具) 會回報任何語法錯誤。
1. 在 **Name** (名稱) 中,輸入名稱來識別您正在建立的政策。檢閱政策 **Summary** (摘要) 來查看您的政策所授予的許可。然後選擇 **Create policy (建立政策)** 來儲存您的工作。
1. 在您建立內嵌政策後,它會自動嵌入您的角色中。
## 任務 5:設定使用者存取至 Change Manager
如果使用者、群組或角色受獲指派管理員許可,則您可以存取 Change Manager。如果您沒有管理員許可,則管理員必須指派 `AmazonSSMFullAccess` 受管政策或提供相當許可的政策給使用者、群組或角色。
使用以下程序將使用者設定為使用 Change Manager。您選擇的使用者會擁有設定和執行 Change Manager 的許可。
視您在組織中使用的身分應用程式而定,
您可以選取三個可用於設定使用者存取權中的任何一個選項。設定使用者存取權時,指派或新增下列項目:
1. 指派 `AmazonSSMFullAccess` 政策或相當的政策,以授予存取 Systems Manager 的許可。
1. 指派 `iam:PassRole` 政策。
1. 新增您在 [任務 2:建立 Change Manager 的擔任角色](#change-manager-role) 結尾複製的 Change Manager 擔任角色的 ARN。
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
您已完成設定 Change Manager 所需的角色。您現在可以在 Change Manager 操作中使用 Change Manager 擔任角色 ARN。
# 控制對自動核准 Runbook 工作流程的存取
**Change Manager 可用性變更**
AWS Systems Manager Change Manager 自 2025 年 11 月 7 日起,不再向新客戶開放。如果您想要使用 Change Manager,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Systems Manager Change Manager可用性變更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
在為組織或帳戶建立的每個變更範本中,您可以指定從該範本建立的變更請求是否可以作為自動核准的變更請求來執行,這表示它們會在沒有檢閱步驟的情況下自動執行 (變更凍結事件除外)。
不過,您可能想要防止某些使用者、群組或 AWS Identity and Access Management (IAM) 角色執行自動核准的變更請求,即使變更範本允許也是一樣。您可以透過在指派給使用者、群組或 IAM 角色的 IAM 政策中使用 `StartChangeRequestExecution` 操作的 `ssm:AutoApprove` 條件金鑰,來執行此操作。
您可以將下列政策新增為內嵌政策,其中條件指定為`false`,可防止使用者執行可自動核准的變更請求。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:StartChangeRequestExecution",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"ssm:AutoApprove": "false"
}
}
}
]
}
```
------
如需有關指定內嵌政策的資訊,請參閱*《IAM 使用者指南》*中的[內嵌政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies)和[新增和移除 IAM 身分許可](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
如需有關 Systems Manager 政策條件金鑰的詳細資訊,請參閱 [Systems Manager 條件金鑰](security_iam_service-with-iam.md#policy-conditions)。