控制对自动批准运行簿工作流的访问 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

控制对自动批准运行簿工作流的访问

在为您的组织或帐户创建的每个变更模板中,您可以指定从该模板创建的变更请求是否可以作为自动批准的更改请求运行,这意味着它们在没有复查步骤的情况下自动运行(变更冻结事件除外)。

但是,您可能希望阻止某些用户、组或Amazon Identity and Access Management(IAM) 角色运行自动批准的更改请求,即使更改模板允许它也是如此。您可以通过使用ssm:AutoApprove条件键StartChangeRequestExecution操作时,分配给用户、组或 IAM 角色的 IAM 策略中。

您可以将以下策略添加为内联策略,其中将条件指定为false,以防止用户运行可自动批准的更改请求。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ssm:StartChangeRequestExecution", "Resource": "*", "Condition": { "BoolIfExists": { "ssm:AutoApprove": "false" } } } ] }

有关指定内联策略的信息,请参阅。内联策略添加和删除 IAM 身份权限中的IAM 用户指南.