控制对自动批准运行手册工作流的访问 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Systems Manager Change Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 Amazon Systems Manager Change Manager 可用性变更

控制对自动批准运行手册工作流的访问

Change Manager 可用性变更

自 2025 年 11 月 7 日起,Amazon Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 Amazon Systems Manager Change Manager 可用性变更

在为您的组织或账户创建的每个更改模板中,您可以指定从该模板创建的更改请求是否可以作为自动批准的更改请求运行,这意味着这些更改请求将在没有审核步骤的情况下自动运行(更改冻结事件除外)。

但是,您可能希望阻止某些用户、组或 Amazon Identity and Access Management (IAM) 角色运行自动批准的更改请求,即使更改模板允许此操作也是如此。您可以将 ssm:AutoApprove 条件键用于分配给用户、组或 IAM 角色的 IAM policy 中的 StartChangeRequestExecution 操作,借此实现上述目标。

您可以将以下策略添加为内联策略,其中将该条件指定为 false,以阻止用户运行可自动批准的更改请求。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
            {
            "Effect": "Allow",
            "Action": "ssm:StartChangeRequestExecution",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "ssm:AutoApprove": "false"
                }
            }
        }
    ]
}

有关指定内联策略的信息,请参阅 IAM 用户指南中的内联策略添加和删除 IAM 身份权限

有关 Systems Manager 策略条件键的更多信息,请参阅 Systems Manager 的条件键