Amazon Web Services Systems Manager变更管理员 - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Web Services Systems Manager变更管理员

变更管理器,一种Amazon Web Services Systems Manager是一个企业变更管理框架,用于请求、批准、实施和报告应用程序配置和基础架构的操作更改。从单个委派管理员账户,如果您使用Amazon Organizations,您可以管理多个Amazon Web Services 账户和横向Amazon Web Services 区域。或者,请使用Overal 帐户,您可以管理单个Amazon Web Services 账户。使用变更管理器管理对Amazon资源和本地资源。

使用变更管理器,您可以使用预先批准的更改模板,帮助自动化资源的更改流程,并帮助避免在进行操作更改时出现意外结果。每个更改模板指定以下内容:

  • 一个或多个自动化运行手册,供用户在创建变更请求时进行选择。对资源进行的更改在 Automation Runbook 中定义。您可以包含自定义运行手册或Amazon托管运行簿在您创建的更改模板中。当用户创建变更请求时,他们可以选择要在请求中包含哪一个可用的 Runbook。此外,您还可以创建更改模板,让发出请求的用户在变更请求中指定任何 Runbook。

  • 帐户中必须查看使用该更改模板发出的更改请求的用户。

  • Amazon Simple Notification Service (Amazon SNS) 主题,用于通知分配的批准者更改请求已准备就绪以供审阅。

  • 用于监控运行手册工作流程的亚马逊 CloudWatch 警报。

  • Amazon SNS 主题,用于向使用变更模板创建的变更请求发送有关状态更改的通知。

  • 要应用于更改模板的标签,用于对更改模板进行分类和筛选。

通过与更改日历(Systems Manager 的另一项功能)的集成,变更管理器还可以帮助您安全地实施更改,同时避免计划与重要业务事件发生冲突。变更管理器与Amazon Organizations和Amazon Web Services Single Sign On可帮助您使用现有的身份管理系统从单个账户管理整个组织的更改。您可以从变更管理器监控更改进度,并审核整个组织的运营变更,从而提高可见性和责任感。

变更管理器补充了持续集成(CI) 做法和持续交付(裁谈会) 方法. 变更管理器不适用于作为自动发布流程的一部分(例如 CI/CD 管道)所做的更改,除非有例外或需要批准。

变更管理器的工作原理

在确定需要标准或紧急操作更改时,组织中的某个人会根据为在您的组织或帐户中使用而创建的变更模板之一创建变更请求。

如果请求的更改需要手动批准,变更管理器会通过 Amazon SNS 通知通知指定的批准人变更请求已准备好供其审核。您可以在变更模板中指定更改请求的批准者,也可以让用户指定更改请求本身的批准者。您可以将不同的审阅者分配给不同的模板。例如,分配一个必须批准对托管实例的更改请求的用户或用户组,分配另一个用户或组进行数据库更改。

对于每个更改模板,您可以添加最多 5 个级别的批准者。例如,您可能要求技术审核人员首先批准根据变更模板创建的变更请求,然后需要一个或多个经理的第二级批准。

变更管理器与Amazon Web Services Systems Manager更改日历。批准请求的更改后,系统首先确定请求是否与其他计划业务活动冲突。如果检测到冲突,Change Manager 可以阻止更改,或者在启动 Runbook 工作流之前需要其他批准。例如,您可能只允许在工作时间进行更改,以确保团队可以管理任何意外问题。对于请求在上述时间以外运行的任何更改,您可以要求更高级别的管理人员以更改冻结批准者。对于紧急更改,变更管理器可以跳过检查更改日历中是否存在冲突或阻止更改请求批准后的事件的步骤。

当需要实施批准的更改时,变更管理器会运行在关联的变更请求中指定的自动化运行簿。运行 Runbook 工作流时,只允许在已批准的变更请求中定义的操作。这种方法有助于避免在实施变革时出现意外结果。

除了限制在运行 Runbook 工作流程时可以进行的更改之外,Change Manager 还可以帮助您控制并发阈值和错误阈值。您可以选择 Runbook 工作流一次可以运行多少资源,一次可以运行更改的帐户数,以及在停止该进程之前允许多少故障以及(如果 Runbook 包含回滚脚本)回滚。您还可以使用 CloudWatch 警报监控正在执行的更改的进度。

Runbook 工作流完成后,您可以查看有关所做更改的详细信息。这些详细信息包括变更请求的原因、使用的变更模板、请求和批准更改的人员以及更改的实施方式。

变更管理器如何使我的运营受益?

变更管理器具有以下好处:

  • 降低服务中断和停机风险

    变更管理器可以确保在运行 Runbook 工作流程时仅实施已批准的更改,从而使操作更改更安全。您可以阻止计划外和未审核的更改。Change Manager 可帮助您避免由人为错误导致的意外结果类型,这些结果需要花费昂贵的时间进行研究和回溯。

  • 获取更改历史记录的详细审核和报告

    Change Manager 为责任提供了一种一致的方式来报告和审核整个组织所做的更改、更改的意图以及有关谁批准和实施这些更改的详细信息。

  • 避免计划冲突或违规

    变更管理器可以根据组织的活动更改日历检测计划冲突,例如假日事件或新产品启动。您可以允许 Runbook 工作流仅在工作时间运行,也可以仅在获得额外批准的情况下才允许它们。

  • 根据不断变化的业务调整变更需求

    在不同的业务期间,您可以实施不同的变更管理要求。例如,在月末报告、纳税季节或其他关键业务期间,您可以阻止更改或要求董事级批准可能带来不必要的运营风险的更改。

  • 集中管理跨账户的更改

    通过与 Organizations 的集成,Change Manager 使您能够通过单个委派管理员帐户管理所有组织单位 (OU) 中的更改。您可以启用变更管理器,以便与整个组织或仅与部分 OU 一起使用。

谁应该使用变更管理器?

变更管理器适用于以下Amazon客户和组织:

  • 任何Amazon客户,他们希望改进对其云或本地环境所做操作更改的安全性和治理性。

  • 希望提高团队间的协作和可见性,通过避免停机提高应用程序可用性,并降低与手动和重复性任务相关的风险的 Organizations。

  • 必须遵守变更管理的最佳做法的 Organizations。

  • 需要完全可审核的应用程序配置和基础架构更改历史记录的客户。

变更管理器的主要功能是什么?

变更管理器的主要功能包括:

  • 对变革管理最佳做法的综合支持

    使用变更管理器,您可以将选择的变更管理最佳实践应用于您的操作。可以选择启用以下选项:

    • 选中 “更改日历” 以查看事件当前是否受到限制,以便仅在打开的日历期间进行更改。

    • 允许在受限事件期间进行更改,并获得更改冻结批准者的额外批准。

    • 要求为所有更改模板指定 CloudWatch 警报。

    • 要求在您的账户中创建的所有变更模板经过审核和批准,然后才能使用它们创建变更请求。

  • 关闭日历期间和紧急变更请求的不同批准路径

    您可以启用一个选项,以检查 “更改日历” 中的受限事件,并阻止批准的更改请求,直到事件完成。但是,您也可以指定第二组批准者,即更改冻结批准者,即使日历已关闭,他们也可以允许进行更改。您还可以创建紧急变更模板。根据紧急变更模板创建的变更请求仍需要定期批准,但不受日历限制的约束,也不需要更改冻结批准。

  • 控制如何以及何时启动 Runbook 工作流

    Runbook 工作流可以根据计划启动,也可以在批准完成后立即启动(受日历限制规则限制)。

  • 内置通知支持

    指定组织中应审核和批准变更模板和变更请求的人员。将 Amazon SNS 主题分配给变更模板,以便向主题的订阅者发送有关使用该变更模板创建的变更请求状态更改的通知。

  • 与 集成Amazon Web Services Systems Manager更改日历

    变更管理器允许管理员限制在指定的时间段内进行更改。例如,您可以创建一个策略,该策略仅允许在工作时间进行更改,以确保团队能够处理任何问题。您还可以在重要业务事件期间限制更改。例如,零售业务可能会在大型销售活动期间限制更改。您还可以在受限期内要求获得额外批准。

  • 与 集成Amazon Web Services Single Sign On和 Active Directory 支持

    与Amazon Web Services SSO集成时,您的组织成员可以访问Amazon Web Services 账户,并使用基于通用用户身份的 Systems Manager 管理其资源。使用Amazon Web Services SSO,您可以为用户分配对Amazon。

    通过与活动目录集成,您可以将 Active Directory 帐户中的用户分配为您的更改管理器操作创建的更改模板的批准者。

  • 与 Amazon CloudWatch 警报集成

    变更管理器与 CloudWatch 警报集成。变更管理器在 Runbook 工作流程中侦听 CloudWatch 警报,并执行任何为警报定义的操作,包括发送通知。

  • 与 集成 Amazon Organizations

    使用 “Organizations” 提供的跨帐户功能,您可以使用委派管理员帐户管理组织中 OU 中的变更管理器操作。在 “Organizations” 管理帐户中,您可以指定哪个帐户作为委派管理员帐户。您还可以控制哪些 OU 更改管理器可以在中使用。

使用变更管理器是否需要支付费用?

是。变更管理器按使用量收费。您仅需按实际用量付费。有关更多信息,请参阅 Amazon Web Services Systems Manager 定价

变更管理器的主要组件是什么?

用于管理组织或帐户中的更改流程的变更管理器组件包括以下内容:

委派管理员账户

如果跨组织使用变更管理器,则使用委派管理员帐户。这是Amazon Web Services 账户指定为管理 Systems Manager(包括变更管理器)中的操作活动的帐户。委派管理员帐户管理组织中的更改活动。在将组织设置为与变更管理器一起使用时,您可以指定哪些帐户担任此角色。委派管理员帐户必须是分配给该帐户的组织单位 (OU) 的唯一成员。如果将变更管理器与单个Amazon Web Services 账户仅限 。

重要

如果跨组织使用 Change Manager,我们建议您始终使用委派的管理员帐户进行更改。虽然您可以从组织中的其他帐户进行更改,但这些更改将不会在委派管理员帐户中报告或从委派管理员帐户中查看。

更改模板

变更模板是 Change Manager 中配置设置的集合,用于定义所需批准、可用运行手册和变更请求的通知选项等内容。

您可以要求您的组织或帐户中的用户创建的更改模板经过批准流程,然后才能使用这些模板。

变更管理器支持两种更改模板。对于基于紧急更改模板,即使在更改日历中存在阻止事件,也可以进行请求的更改。对于基于标准更改模板,如果更改日历中存在阻止事件,则无法进行请求的更改,除非从指定的更改冻结事件审批。

变更请求

变更请求是在变更管理器中运行自动化运行手册的请求,该运行手册可更新Amazon或本地环境。使用变更模板创建变更请求。

创建变更请求时,您的组织或帐户中的一个或多个批准者必须审核和批准该请求。如果没有必要的批准,则不允许运行应用您请求的更改的 Runbook 工作流。

在系统中,更改请求是Amazon Web Services Systems ManagerOpsCenter。但 OpsItems 型的/aws/changerequest不会显示在操作中心中。作为 OpsItems,变更请求受到与其他类型的 OpsItems 相同的强制限制。有关 OpsItems 以为Amazon Web Services 账户在Amazon Web Services 区域,请参阅OpsCenter 的配额是多少?

此外,若要以编程方式创建更改请求,您不要调用CreateOpsItemAPI 操作。相反,您可以使用StartChangeRequestExecutionAPI 操作。但是,必须批准更改请求,而不是立即运行,而且更改日历中不得有任何阻止事件来阻止工作流运行。当收到批准并且日历未被阻止(或者已授予绕过阻止日历事件的权限)时,StartChangeRequestExecution操作能够完成。

Runbook 工作流程

Runbook 工作流是要求对云或本地环境中的目标资源进行更改的过程。每个更改请求都指定一个用于执行请求更改的 Automation 运行簿。Runbook 工作流在授予所有必需的批准并且更改日历中没有阻止事件之后发生。如果已为特定日期和时间安排更改,则 Runbook 工作流在计划后才开始,即使已收到所有批准并且日历未被阻止也是如此。