AWS Systems Manager Change Manager - AWS Systems Manager
Funktionsweise von Change ManagerWelche Vorteile bietet Change Manager meinen Vorgängen?An wen richtet sich Change Manager?Was sind die Hauptfeatures von Change Manager?Entstehen Kosten für die Verwendung von Change Manager?Was sind die primären Komponenten von Change Manager?

AWS Systems Manager Change Manager

Change Manager, eine Funktion von AWS Systems Manager, ist ein unternehmensweites Change-Management-Framework zum Anfordern, Genehmigen, Implementieren und Melden von Betriebsänderungen an Ihrer Anwendungskonfiguration und Infrastruktur. Von einem einzigen Delegated Administrator-Konto können Sie Änderungen über mehrere AWS-Konten und über mehrere AWS-Regionen hinweg verwalten, wenn Sie AWS Organizations verwenden. Alternativ können Sie mit einem lokalen Konto Änderungen für einen einzigen AWS-Konto verwalten. Verwenden Sie Change Manager zum Verwalten von Änderungen an sowohl AWS-Ressourcen als auch On-Premises-Ressourcen. Um mit Change Manager zu beginnen, öffnen Sie die Systems-Manager-Konsole. Wählen Sie im Navigationsbereich Change Manager aus.

Mit Change Manager können Sie vorab genehmigte Änderungsvorlagen verwenden, um Änderungsprozesse für Ihre Ressourcen zu automatisieren und unbeabsichtigte Ergebnisse bei betrieblichen Änderungen zu vermeiden. Jede Änderungsvorlage gibt Folgendes an:

  • Eine oder mehrere Automation-Runbooks, aus denen ein Benutzer beim Erstellen einer Änderungsanforderung auswählen kann. Die Änderungen an Ihren Ressourcen werden in Automation-Runbooks definiert. Sie können benutzerdefinierte Runbooks oder AWS-verwaltete Runbooks in die von Ihnen erstellten Änderungsvorlagen aufnehmen. Wenn ein Benutzer einen Änderungsantrag erstellt, kann er auswählen, welches der verfügbaren Runbooks in die Anforderung aufgenommen werden soll. Darüber hinaus können Sie Änderungsvorlagen erstellen, mit denen der Benutzer, der die Anforderung stellt, jedes beliebige Runbook in der Änderungsanforderung angeben kann.

  • Die Benutzer im Konto, die Änderungsanforderungen überprüfen müssen, die mit dieser Änderungsvorlage vorgenommen wurden.

  • Das Amazon Simple Notification Service (Amazon SNS)-Thema, das verwendet wird, um zugewiesene Genehmiger darüber zu informieren, dass ein Änderungsantrag zur Überprüfung bereit ist.

  • Der Amazon CloudWatch Alarm, der zum Überwachen des Runbook-Workflows verwendet wird.

  • Das Amazon SNS-Thema, das verwendet wird, um Benachrichtigungen über Statusänderungen für Änderungsanforderungen zu senden, die mit der Änderungsvorlage erstellt werden.

  • Die Tags, die auf die Änderungsvorlage angewendet werden sollen, um die Änderungsvorlagen zu kategorisieren und zu filtern.

  • Ob aus der Änderungsvorlage erstellte Änderungsanträge ohne Genehmigungsschritt ausgeführt werden können (automatisch genehmigte Anforderungen).

Durch die Integration in Change Calendar, was eine weitere Funktion von Systems Manager ist,Change Manager hilft Ihnen außerdem, Änderungen sicher zu implementieren und Zeitplankonflikte mit wichtigen Geschäftsereignissen zu vermeiden. Change Manager-Integration inAWS Organizations und AWS IAM Identity Center unterstützt Sie bei der Verwaltung von Änderungen in Ihrer gesamten Organisation über ein einziges Konto mit Ihrem vorhandenen Identitätsmanagementsystem. Sie können den Änderungsfortschritt von Change Manager überwachen und betriebliche Änderungen in Ihrer gesamten Organisation prüfen und für bessere Transparenz und Rechenschaftspflicht sorgen.

Change Manager ergänzt die Sicherheitskontrollen Ihrer Continuous Integration(CI)-Praktiken und Ihrer Continuous Delivery (CD)-Methodik. Change Manager ist nicht für Änderungen gedacht, die im Rahmen eines automatisierten Release-Prozesses wie einer CI/CD-Pipeline vorgenommen werden, es sei denn, es ist eine Ausnahme oder Genehmigung erforderlich.

Funktionsweise von Change Manager

Wenn eine Standard- oder Notfalländerung benötigt wird, erstellt jemand in der Organisation einen Änderungsantrag, der auf einer der Änderungsvorlagen basiert, die für die Verwendung in Ihrer Organisation oder Ihrem Konto erstellt wurden.

Wenn die angeforderte Änderung manuelle Genehmigungen erfordert, benachrichtigt Change Manager die angegebenen Genehmiger durch eine Amazon SNS Benachrichtigung, dass ein Änderungsantrag zur Überprüfung bereit ist. Sie können Genehmiger für Änderungsanforderungen in der Änderungsvorlage benennen oder Benutzer Genehmiger in der Änderungsanforderung selbst benennen lassen. Sie können verschiedenen Vorlagen verschiedene Prüfer zuweisen. Ordnen Sie beispielsweise einen Benutzer, eine Benutzergruppe oder eine AWS Identity and Access Management (IAM)-Rolle zu, die Anforderungen für Änderungen an verwalteten Knoten genehmigen muss, und eine andere Benutzer-, Gruppen- oder IAM-Rolle für Datenbankänderungen. Wenn die Änderungsvorlage automatische Genehmigungen zulässt und die Benutzerrichtlinie eines Anforderers dies nicht verbietet, kann der Benutzer das Automation-Runbook für seine Anfrage auch ohne Überprüfungsschritt ausführen (mit Ausnahme von Ereignissen zum Einfrieren von Änderungen).

Für jede Änderungsvorlage können Sie bis zu fünf Genehmigerebenen hinzufügen. Sie können beispielsweise verlangen, dass technische Prüfer eine Änderungsanforderung, die aus einer Änderungsvorlage erstellt wurde, zuerst genehmigen und dann eine zweite Genehmigungsebene von einem oder mehreren Managern anfordern.

Change Manager ist in AWS Systems Manager Change Calendar integriert. Wenn eine angeforderte Änderung genehmigt wird, ermittelt das System zunächst, ob die Anforderung mit anderen geplanten Geschäftsvorgängen in Konflikt steht. Wenn ein Konflikt erkannt wird, kann Change Manager die Änderung blockieren oder zusätzliche Genehmigungen erfordern, bevor Sie den Runbook-Workflow starten. Beispielsweise können Sie Änderungen nur während der Geschäftszeiten erlauben, um sicherzustellen, dass Teams zur Verfügung stehen, um unerwartete Probleme zu verwalten. Für alle Änderungen, die außerhalb dieser Zeiten ausgeführt werden sollen, können Sie eine Genehmigung für die Verwaltung auf höherer Ebene in Form vonChange–Freeze-Genehmigern fordern. Bei Notfalländerungen kann Change Manager den Schritt der Überprüfung von Change Calendar für Konflikte oder Blockieren von Ereignissen überspringen, nachdem eine Änderungsanforderung genehmigt wurde.

Wenn es an der Zeit ist, eine genehmigte Änderung zu implementieren Change Manager führt das Automation-Runbook aus, das in der zugeordneten Änderungsanforderung angegeben ist. Nur die Vorgänge, die in genehmigten Änderungsanforderungen definiert sind, sind zulässig, wenn Runbook-Workflows ausgeführt werden. Dieser Ansatz hilft Ihnen, unbeabsichtigte Ergebnisse zu vermeiden, während Änderungen implementiert werden.

Zusätzlich zum Einschränken der Änderungen, die bei der Ausführung eines Runbook-Workflows vorgenommen werden können, hilft Ihnen Change Manager außerdem beim Steuern der Gleichzeitigkeit und der Fehlerschwellenwerte. Sie legen fest, wie viele Ressourcen ein Runbook-Workflow gleichzeitig ausführen kann, auf wie vielen Konten die Änderung gleichzeitig ausgeführt werden kann und wie viele Fehler vor dem Beenden des Prozesses zugelassen werden und (wenn das Runbook ein Rollback-Skript enthält) zurückgesetzt werden sollen. Sie können den Fortschritt der Änderungen auch mithilfe von CloudWatch-Alarmen überwachen.

Nachdem ein Runbook-Workflow abgeschlossen wurde, können Sie Details zu den vorgenommenen Änderungen überprüfen. Diese Details beinhalten den Grund für einen Änderungsantrag, welche Änderungsvorlage verwendet wurde, wer die Änderungen angefordert und genehmigt hat und wie die Änderungen implementiert wurden.

Weitere Informationen

Einführung von AWS Systems ManagerChange Manager auf dem AWS-News Blog

Welche Vorteile bietet Change Manager meinen Vorgängen?

Change Manager bietet folgende Vorteile:

  • Reduzieren Sie das Risiko von Service-Unterbrechungen und Ausfallzeiten

    Change Manager kann Betriebsänderungen sicherer machen, indem sichergestellt wird, dass nur genehmigte Änderungen implementiert werden, wenn ein Runbook-Workflow ausgeführt wird. Sie können ungeplante und nicht überprüfte Änderungen blockieren. Change Manager hilft Ihnen, die Arten von unbeabsichtigten Ergebnissen zu vermeiden, die durch menschliche Fehler verursacht werden, die kostspielige Zeit an Forschung und Rückverfolgung erfordern.

  • Detailliertes Prüfung und Berichterstattung zu Änderungshistorien

    Change Manager bietet Rechenschaftspflicht mit einer konsistenten Möglichkeit, Änderungen, die in Ihrem Unternehmen vorgenommen wurden, zu melden und zu prüfen, die Absicht der Änderungen und Details darüber, wer sie genehmigt und implementiert hat.

  • Vermeiden Sie Konflikte oder Verstöße

    Change Manager kann Zeitplankonflikte wie Feiertagsereignisse oder neue Produktstarts basierend auf dem aktiven Änderungskalender für Ihre Organisation erkennen. Sie können die Ausführung von Runbook-Workflows nur während der Geschäftszeiten oder nur mit zusätzlichen Genehmigungen erlauben.

  • Anpassung der Änderungsanforderungen an Ihr sich änderndes Geschäft

    In verschiedenen Geschäftsperioden können Sie unterschiedliche Anforderungen an das Änderungsmanagement stellen. So können Sie beispielsweise während der Monatsberichterstattung, der Steuersaison oder anderer kritischer Geschäftszeiträume Änderungen blockieren oder eine Genehmigung auf Direktorenebene für Änderungen verlangen, die unnötige Betriebsrisiken mit sich bringen könnten.

  • Zentrale Verwaltung von Änderungen über Konten hinweg

    Durch die Integration mit Organizations ermöglicht Change Manager Ihnen die Verwaltung von Änderungen in allen Ihren Organisationseinheiten (OUs) von einem einzigen delegierten Administratorkonto aus. Sie können Change Manager für die Verwendung mit Ihrer gesamten Organisation oder nur mit einigen Ihrer Organisationseinheiten aktivieren.

An wen richtet sich Change Manager?

Change Manager eignet sich für die folgenden AWS-Kunden und -Organisationen:

  • Alle AWS-Kunden, die die Sicherheit und Steuerung von betrieblichen Änderungen verbessern möchten, die an ihren Cloud- oder On-Premises-Umgebungen vorgenommen wurden.

  • Organisationen, die die Zusammenarbeit und Transparenz über alle Teams hinweg verbessern, die Anwendungsverfügbarkeit durch Vermeidung von Ausfallzeiten verbessern und das mit manuellen und sich wiederholenden Aufgaben verbundene Risiko verringern möchten.

  • Organisationen, die bewährte Methoden für das Änderungsmanagement einhalten müssen.

  • Kunden, die eine vollständig überprüfbare Historie der Änderungen an ihrer Anwendungskonfiguration oder -infrastruktur benötigen.

Was sind die Hauptfeatures von Change Manager?

Zu den wichtigsten Features von Change Manager gehört Folgendes:

  • Integrierte Unterstützung für bewährte Methoden für das Änderungsmanagement

    Mit Change Manager können Sie ausgewählte bewährte Methoden für das Änderungsmanagement auf Ihre Vorgänge anwenden. Sie können folgende Optionen aktivieren:

    • Überprüfen Sie Change Calendar, um zu sehen, ob Ereignisse derzeit eingeschränkt sind, sodass Änderungen nur während der offenen Kalenderperioden vorgenommen werden.

    • Zulassen von Änderungen bei eingeschränkten Ereignissen mit zusätzlichen Genehmigungen von Change-Freeze-Genehmigungsberechtigten.

    • Für alle Änderungsvorlagen müssen CloudWatch-Alarme angegeben werden.

    • Verlangen Sie, dass alle in Ihrem Konto erstellten Änderungsvorlagen geprüft und genehmigt werden müssen, bevor sie zur Erstellung von Änderungsaufträgen verwendet werden können.

  • Verschiede Genehmigungspfade für geschlossene Kalenderperioden und Notänderungsanträge

    Sie können eine Option zulassen, um Change Calendar auf eingeschränkte Ereignisse zu prüfen und genehmigte Änderungsanforderungen zu blockieren, bis das Ereignis abgeschlossen ist. Sie können jedoch auch eine zweite Gruppe von Genehmigern bestimmen, die Change-Freeze-Genehmiger, die eine Änderung auch dann zulassen können, wenn der Kalender geschlossen ist. Sie können auch Notfalländerungsvorlagen erstellen. Änderungsaufträge, die aus einer Notfalländerungsvorlage erstellt wurden, erfordern weiterhin regelmäßige Genehmigungen, unterliegen jedoch keinen Kalenderbeschränkungen und erfordern keine Change-Freeze-Freigaben.

  • Steuern Sie, wie und wann Runbook-Workflows gestartet werden

    Runbook-Workflows können nach einem Zeitplan oder nach Abschluss der Genehmigungen gestartet werden (vorbehaltlich der Kalendereinschränkungsregeln).

  • Integrierte Unterstützung für Benachrichtigungen

    Geben Sie an, wer in Ihrer Organisation Änderungsvorlagen und Änderungsanforderungen prüfen und genehmigen soll. Weisen Sie einer Änderungsvorlage ein Amazon SNS-Thema zu, um Benachrichtigungen an die Abonnenten des Themas über Statusänderungen für Änderungsanträge zu senden, die mit dieser Änderungsvorlage erstellt wurden.

  • Integration in AWS Systems Manager Change Calendar

    Change Manager ermöglicht es Administratoren, Zeitplanänderungen während bestimmter Zeiträume einzuschränken. Sie können beispielsweise eine Richtlinie erstellen, die Änderungen nur während der Geschäftszeiten zulässt, um sicherzustellen, dass das Team für Probleme verfügbar ist. Sie können Änderungen auch bei wichtigen Geschäftsereignissen einschränken. Beispielsweise können Einzelhandelsunternehmen Änderungen bei großen Verkaufsereignissen einschränken. Sie können auch während eingeschränkter Zeiträume zusätzliche Genehmigungen verlangen.

  • Integration in AWS IAM Identity Center und Active Directory-Unterstützung

    Mit der IAM-Identity-Center-Integration können Mitglieder Ihrer Organisation auf AWS-Konten zugreifen und ihre Ressourcen mithilfe von Systems Manager basierend auf einer gemeinsamen Benutzeridentität verwalten. Mit IAM Identity Center können Sie Ihren Benutzern Zugriff auf Konten über AWS hinweg gewähren.

    Durch die Integration mit Active Directory können Benutzer in Ihrem Active Directory-Konto als Genehmiger für Änderungsvorlagen zugewiesen werden, die für Ihre Change Manager-Vorgänge erstellt wurden.

  • Integration mit Amazon CloudWatch-Alarmen

    Change Manager ist in CloudWatch-Alarme integriert. Change Manager lauscht während des Runbook-Workflows auf CloudWatch-Alarme und führt alle für den Alarm definierten Maßnahmen durch, einschließlich des Versands von Benachrichtigungen.

  • Integration mit AWS CloudTrail Lake

    Indem Sie einen Ereignisdatenspeicher in AWS CloudTrail Lake erstellen, können Sie überprüfbare Informationen zu den Änderungen anzeigen, die durch Änderungsanforderungen vorgenommen wurden, die in Ihrem Konto oder Ihrer Organisation ausgeführt werden. Die gespeicherten Ereignisinformationen enthalten u. a. folgende Details:

    • Die API-Aktionen, die ausgeführt wurden

    • Die für diese Aktionen enthaltenen Anforderungsparameter

    • Der Benutzer, der die Aktion ausgeführt hat

    • Die Ressourcen, die während des Vorgangs aktualisiert wurden

  • Integration in AWS Organizations

    Mit den kontenübergreifenden Funktionen von Organizations können Sie ein delegiertes Administratorkonto für die Verwaltung von Change Manager-Vorgängen in OUs in Ihrer Organisation verwenden. In Ihrem Organizations-Verwaltungskonto können Sie angeben, welches Konto das delegierte Administratorkonto sein soll. Sie können auch steuern, in welchen Ihrer OUs Change Manager verwendet werden kann.

Entstehen Kosten für die Verwendung von Change Manager?

Ja. Change Manager wird auf einer Pay-per-Use-Basis berechnet. Sie zahlen nur das, was Sie nutzen. Weitere Informationen finden Sie unter AWS Systems Manager-Preisgestaltung.

Was sind die primären Komponenten von Change Manager?

Change Manager-Komponenten, die Sie zum Verwalten des Änderungsprozesses in Ihrer Organisation oder Ihrem Konto verwenden, umfassen Folgendes:

Delegiertes Administratorkonto

Wenn Sie den Change Manager in einer Organisation verwenden, verwenden Sie ein delegiertes Administratorkonto. Dies ist der AWS-Konto , der als Konto für die Verwaltung von Betriebsaktivitäten in Systems Manager festgelegt ist, einschließlich Change Manager. Das delegierte Administratorkonto verwaltet Änderungsaktivitäten in Ihrer gesamten Organisation. Wenn Sie Ihre Organisation für die Verwendung mit dem Change Manager einrichten, geben Sie an, welche Ihrer Konten in dieser Rolle verwendet werden. Das delegierte Administratorkonto muss das einzige Mitglied der Organisationseinheit (OU) sein, der es zugewiesen ist. Das delegierte Administratorkonto ist nicht erforderlich, wenn Sie Change Manager nur mit einem einzigen AWS-Konto verwenden.

Wichtig

Wenn Sie den Change Manager in einer Organisation verwenden, empfehlen wir, Änderungen immer über das delegierte Administratorkonto vorzunehmen. Obwohl Sie Änderungen von anderen Konten in der Organisation vornehmen, werden diese Änderungen nicht im delegierten Administratorkonto gemeldet oder können nicht angezeigt werden.

Änderungsvorlage

Eine Änderungsvorlage ist eine Sammlung von Konfigurationseinstellungen in Change Manager, die beispielsweise erforderliche Genehmigungen, verfügbare Runbooks und Benachrichtigungsoptionen für Änderungsanforderungen definiert.

Sie können verlangen, dass die von Benutzern in Ihrer Organisation oder Ihrem Konto erstellten Änderungsvorlagen einen Genehmigungsprozess durchlaufen, bevor sie verwendet werden können.

Change Manager unterstützt zwei Arten von Änderungsvorlagen. Bei einer genehmigten Änderungsanforderung, die auf einer Notfalländerungsvorlage basiert, kann die angeforderte Änderung auch dann vorgenommen werden, wenn Sperrereignisse in Change Calendar vorliegen. Bei einer genehmigten Änderungsanforderung, die auf einer standardmäßigen Änderungsvorlage basiert, kann die angeforderte Änderung nicht vorgenommen werden, wenn Blockierungsereignisse in Change Calendar vorhanden sind, es sei denn, es werden zusätzliche Genehmigungen von bestimmten Genehmigern für Change-Freeze-Ereignisse erhalten.

Änderungsanforderung

Ein Änderungsantrag ist eine Anforderung in Change Manager, um ein Automation-Runbook auszuführen, das eine oder mehrere Ressourcen in Ihren AWS- oder On-Premises-Umgebungen aktualisiert. Ein Änderungsantrag wird mit einer Änderungsvorlage erstellt.

Wenn Sie eine Änderungsanforderung erstellen, müssen ein oder mehrere Genehmiger in Ihrer Organisation oder Ihrem Konto die Anforderung überprüfen und genehmigen. Ohne die erforderlichen Genehmigungen kann der Runbook-Workflow, der die angeforderten Änderungen anwendet, nicht ausgeführt werden.

Im System sind Änderungsanforderungen eine Art von OpsItem in AWS Systems Manager OpsCenter. Jedoch werden OpsItems des Typs /aws/changerequest nicht in OpsCenter angezeigt. Als OpsItems unterliegen Änderungsanforderungen den gleichen erzwungenen Kontingenten wie andere OpsItems-Typen.

Um eine Änderungsanforderung programmgesteuert zu erstellen, rufen Sie außerdem nicht die CreateOpsItem-API-Operation auf. Verwenden Sie anstelle die StartChangeRequestExecution-API-Operation. Anstatt sofort ausgeführt zu werden, muss die Änderungsanforderung genehmigt werden, und es dürfen keine blockierenden Ereignisse in Change Calendar vorliegen, um zu verhindern, dass der Workflow ausgeführt wird. Wenn Genehmigungen empfangen wurden und der Kalender nicht gesperrt ist (oder die Berechtigung erteilt wurde, blockierende Kalenderereignisse zu umgehen), kann die StartChangeRequestExecution-Aktion abgeschlossen werden.

Runbook-Workflow

Ein Runbook-Workflow ist der Prozess der angeforderten Änderungen, die an den Zielressourcen in Ihrer Cloud oder On-Premises-Umgebung vorgenommen werden. Jede Änderungsanforderung bestimmt ein einziges Automation-Runbook, das zur Durchführung der angeforderten Änderung verwendet werden soll. Der Runbook-Workflow tritt auf, nachdem alle erforderlichen Genehmigungen erteilt wurden und keine Sperrereignisse in Change Calendar vorliegen. Wenn die Änderung für ein bestimmtes Datum und eine bestimmte Uhrzeit geplant wurde, beginnt der Runbook-Workflow erst nach der Planung, selbst wenn alle Genehmigungen eingegangen sind und der Kalender nicht blockiert ist.

Themen