配置 Change Manager 选项和最佳实践 - Amazon Systems Manager
任务 1:配置 Change Manager 用户身份管理和模板审核人员任务 2:配置 Change Manager 更改冻结事件审批人员和最佳实践
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置 Change Manager 选项和最佳实践

无论您是在整个组织中还是在单个 Amazon Web Services 账户中使用 Amazon Systems Manager 的功能 Change Manager,都必须执行本节中的任务。

如果您将 Change Manager 用于组织,可以在您的委托管理员账户或您允许使用 Change Manager 的组织单位内的任何账户中执行以下任务。

主题

任务 1:配置 Change Manager 用户身份管理和模板审核人员

在首次访问 Change Manager 时,请执行此过程中的该任务。您可以在以后更新这些配置设置,方法是返回到 Change Manager,然后选择 Settings (设置) 选项卡上的 Edit (编辑)

配置 Change Manager 用户身份管理和模板审核人员

  1. 登录到 Amazon Web Services Management Console。

    如果您将 Change Manager 用于组织,请使用您的委托管理员账户的凭证登录。用户必须拥有更新 Change Manager 设置的必要 Amazon Identity and Access Management(IAM)权限。

  2. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  3. 在导航窗格中,选择 Change Manager

    -或者-

    如果首先打开 Amazon Systems Manager 主页,选择菜单图标 ( The menu icon ) 打开导航窗格,然后选择 Change Manager

  4. 在服务主页上,根据可用选项,执行以下操作之一:

    • 如果您将 Change Manager 用于 Amazon Organizations,请选择 Set up delegated account (设置委托账户)

    • 如果您将 Change Manager 用于单个 Amazon Web Services 账户,请选择 Set up Change Manager (设置 Change Manager)

      - 或者 -

      选择 Create sample change request (创建示例更改请求)Skip (跳过),然后选择 Settings (设置) 选项卡。

  5. 对于 User identity management (用户身份管理),请选择以下选项之一。

    • Amazon Identity and Access Management(IAM)- 确定提出和批准请求以及使用您的现有用户、组和角色在 Change Manager 中执行其他操作的用户的身份。

    • Amazon IAM Identity Center(IAM Identity Center) – 允许 IAM Identity Center 创建和管理身份,或连接到您的现有身份源,以确定在 Change Manager 中执行操作的用户的身份。

  6. Template reviewer notification(模板审核人员通知)部分,指定 Amazon Simple Notification Service (Amazon SNS) 主题,这些主题将要用于通知模板审核人员新的更改模板或更改模板版本已准备就绪可供审核。请确保已将您选择的 Amazon SNS 主题配置为向您的模板审核人员发送通知。

    有关为更改模板审核人员通知创建和配置 Amazon SNS 主题的信息,请参阅 为 Change Manager 通知配置 Amazon SNS 主题

    1. 要为模板审核人员通知指定 Amazon SNS 主题,请选择以下选项之一:

      • Enter an SNS Amazon Resource Name (ARN) (输入 SNS Amazon 资源名称 (ARN)) – 对于 Topic ARN (主题 ARN),请输入现有 Amazon SNS 主题的 ARN。此主题可以位于您组织的任何账户中。

      • Select an existing SNS topic(选择现有 SNS 主题) – 对于 Target notification topic(设定通知主题目标),选择您当前的 Amazon Web Services 账户中现有 Amazon SNS 主题的 ARN。(如果您尚未在当前的 Amazon Web Services 账户 和 Amazon Web Services 区域 中创建任何 Amazon SNS 主题,则此选项不可用。)

      注意

      您选择的 Amazon SNS 主题必须被配置为指定它所发送的通知,以及接收这些通知的订阅者。其访问策略还必须向 Systems Manager 授予权限,以便 Change Manager 可以发送通知。有关信息,请参阅 为 Change Manager 通知配置 Amazon SNS 主题

    2. 选择 Add notification(添加通知)

  7. Change template reviewers (更改模板审核人员) 部分中,在您的组织或账户选择用户审核新的更改模板或更改模板版本,然后才能在操作中使用它们。

    更改模板审核人员负责验证其他用户提交的、要在 Change Manager 运行手册工作流中使用的模板的适用性和安全性。

    可以通过执行以下操作选择更改模板审核人员:

    1. 选择 Add (添加)

    2. 选中您要指定为更改模板审核人员的每个用户、组或 IAM 角色名称旁边的复选框。

    3. 选择 Add approvers (添加审批人员)

  8. 选择 Submit (提交)

完成此初始设置过程后,请按 任务 2:配置 Change Manager 更改冻结事件审批人员和最佳实践 中的步骤操作,配置其他 Change Manager 设置和最佳实践。

任务 2:配置 Change Manager 更改冻结事件审批人员和最佳实践

在您完成 任务 1:配置 Change Manager 用户身份管理和模板审核人员 中的步骤之后,可为更改冻结事件期间的更改请求指定额外的审核人员,还可指定您希望允许哪些可用的最佳实践用于 Change Manager 操作。

更改冻结事件意味着在当前更改日历中设置限制(Amazon Systems Manager Change Calendar 中的日历状态为 CLOSED)。在这些情况下,除了更改请求的常规审批人员以外,或者如果更改请求是使用允许自动批准的模板创建的,更改冻结审批人员必须为此更改请求的运行授予权限。如果他们不这样做,则不会处理该更改,直到日历状态再次为 OPEN 时为止。

配置 Change Manager 更改冻结事件审批人员和最佳实践

  1. 在导航窗格中,选择 Change Manager

    -或者-

    如果首先打开 Amazon Systems Manager 主页,选择菜单图标 ( The menu icon ) 打开导航窗格,然后选择 Change Manager

  2. 选择 Settings (设置) 选项卡,然后选择 Edit (编辑)

  3. Approvers for change freeze events (更改冻结事件的审批人员) 部分中,选择您的组织或账户中可以批准更改即便在 Change Calendar 中使用的日历当前处于 CLOSED (已关闭) 状态也能运行的用户。

    注意

    要允许更改冻结审核,必须打开 Best practices (最佳实践) 中的 Check Change Calendar for restricted change events (检查更改日历中的受限更改事件) 选项。

    通过执行以下操作,选择更改冻结事件的审批人员:

    1. 选择 Add(添加)。

    2. 选中您要指定为更改冻结事件审批人员的每个用户、组或 IAM 角色名称旁边的复选框。

    3. 选择 Add approvers (添加审批人员)

  4. Best practices (最佳实践) 部分中,启用您要针对以下各个选项强制实施的最佳实践。

    • 选项:Check Change Calendar for restricted change events (检查更改日历中的受限更改事件)

      要指定 Change Manager 检查 Change Calendar 中的日历,以确保更改不会已被计划的事件阻止,请首先选中 Enabled (已启用) 复选框,然后从 Change Calendar (更改日历) 列表中选择要检查受限事件的日历。

      有关 Change Calendar 的更多信息,请参阅 Amazon Systems Manager Change Calendar

    • 选项:SNS topic for approvers for closed events (用于已关闭事件的审批人员的 SNS 主题)

      1. 选择以下选项之一,在您的账户中指定 Amazon Simple Notification Service (Amazon SNS) 主题,用于在更改冻结事件期间向审批人员发送通知。(请注意,您还必须在 Best practices (最佳实践) 上方的 Approvers for change freeze events (更改冻结事件的审批人员) 部分中指定审批人员。)

        • Enter an SNS Amazon Resource Name (ARN) (输入 SNS Amazon 资源名称 (ARN)) – 对于 Topic ARN (主题 ARN),请输入现有 Amazon SNS 主题的 ARN。此主题可以位于您组织的任何账户中。

        • Select an existing SNS topic(选择现有 SNS 主题) – 对于 Target notification topic(设定通知主题目标),选择您当前的 Amazon Web Services 账户中现有 Amazon SNS 主题的 ARN。(如果您尚未在当前的 Amazon Web Services 账户 和 Amazon Web Services 区域 中创建任何 Amazon SNS 主题,则此选项不可用。)

        注意

        您选择的 Amazon SNS 主题必须被配置为指定它所发送的通知,以及接收这些通知的订阅者。其访问策略还必须向 Systems Manager 授予权限,以便 Change Manager 可以发送通知。有关信息,请参阅 为 Change Manager 通知配置 Amazon SNS 主题

      2. 选择 Add notification(添加通知)

    • 选项:Require monitors for all templates (所有模板都需要监控器)

      如果您希望确保您的组织或账户的所有模板都指定 Amazon CloudWatch 告警来监控您的更改操作,请选中 Enabled(已启用)复选框。

    • 选项:Require template review and approval before use (使用前需要审核和批准模板)

      要确保在不基于已审核和已批准的模板的情况下,不创建任何更改请求,也不运行任何运行手册工作流,请选中 Enabled (已启用) 复选框。

  5. 选择 Save(保存)。