Erstellen von Änderungsanforderungen - AWS Systems Manager
Über die Genehmigung von ÄnderungsanfragenErstellen von Änderungsanforderungen (Konsole)Erstellen von Änderungsanforderungen (AWS CLI)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Änderungsanforderungen

Wenn Sie einen Änderungsantrag inChange Manager, mit einer Funktion von, erstellen AWS Systems Manager, führt die von Ihnen gewählte Änderungsvorlage in der Regel Folgendes aus:

  • Bestimmt Genehmiger für die Änderungsanforderung oder gibt an, wie viele Genehmigungen erforderlich sind

  • Gibt das Amazon Simple Notification Service (AmazonSNS) -Thema an, das verwendet werden soll, um Genehmiger über Ihren Änderungsantrag zu informieren

  • Spezifiziert einen CloudWatch Amazon-Alarm zur Überwachung des Runbook-Workflows für die Änderungsanforderung

  • Identifiziert, aus welchen Automation-Runbooks Sie wählen können, um die angeforderte Änderung vorzunehmen

In einigen Fällen kann eine Änderungsvorlage konfiguriert werden, sodass Sie Ihr eigenes Automation-Runbook angeben und angeben, wer die Anforderung überprüfen und genehmigen soll.

Wichtig

Wenn Sie den Change Manager in einer Organisation verwenden, empfehlen wir, Änderungen immer über das delegierte Administratorkonto vorzunehmen. Obwohl Sie Änderungen von anderen Konten in der Organisation vornehmen, werden diese Änderungen nicht im delegierten Administratorkonto gemeldet oder können nicht angezeigt werden.

Über die Genehmigung von Änderungsanfragen

Abhängig von den in einer Änderungsvorlage festgelegten Anforderungen können Änderungsanfragen, die Sie auf dieser Grundlage erstellen, Genehmigungen von bis zu fünf Ebenen erfordern, bevor der Runbook-Workflow für die Anfrage ausgeführt werden kann. Für jede dieser Ebenen kann der Ersteller der Vorlage bis zu fünf potenzielle Genehmiger angeben. Ein Genehmiger ist nicht auf einen einzelnen Benutzer beschränkt. Ein Genehmiger in diesem Sinne kann auch eine IAM Gruppe oder IAM Rolle sein. Bei IAM Gruppen und IAM Rollen können ein oder mehrere Benutzer, die zu der Gruppe oder Rolle gehören, Genehmigungen für den Erhalt der Gesamtzahl der für eine Änderungsanforderung erforderlichen Genehmigungen erteilen. Ersteller von Vorlagen können auch mehr Genehmiger angeben, als die Änderungsvorlage erfordert.

Ursprüngliche Genehmigungs-Workflows und aktualisierte und/oder Genehmigungen

Bei Verwendung von Änderungsvorlagen, die vor dem 23. Januar 2023 erstellt wurden, muss eine Genehmigung von jedem angegebenen Genehmiger eingeholt werden, damit die Änderungsanfrage auf dieser Ebene genehmigt werden kann. Beispielsweise sind in der Einrichtung der Genehmigungsebene, die im folgenden Image angezeigt werden, vier Genehmiger angegeben. Zu den angegebenen Genehmigern gehören zwei Benutzer (John Stiles und Ana Carolina Silva), eine Benutzergruppe mit drei Mitgliedern (GroupOfThree) und eine Benutzerrolle, die zehn Benutzer repräsentiert (). RoleOfTen

Genehmigungsebene mit vier erforderlichen Genehmigern pro Zeile.

Damit die Änderungsanfrage auf dieser Ebene genehmigt werden kann, muss sie von John Stiles, Ana Carolina Silva, einem Mitglied der GroupOfThree-Gruppe und einem Mitglied der RoleOfTen-Rolle genehmigt werden.

Unter Verwendung von Änderungsvorlagen, die am oder nach dem 23. Januar 2023 erstellt wurden, können Vorlagenersteller für jede Genehmigungsebene eine Gesamtzahl der erforderlichen Genehmigungen angeben. Diese Genehmigungen können aus einer beliebigen Kombination von Benutzern, Gruppen und Rollen stammen, die als Genehmiger angegeben sind. Eine Änderungsvorlage könnte nur eine Genehmigung für eine Ebene erfordern, aber beispielsweise zwei einzelne Benutzer, zwei Gruppen und eine Rolle als potenzielle Genehmiger angeben.

Beispielsweise sind in der Einrichtung der Genehmigungsebene, die im folgenden Image angezeigt werden, pro Ebene drei Genehmigungen erforderlich. Zu den angegebenen Genehmigern gehören zwei Benutzer (John Stiles und Ana Carolina Silva), eine Benutzergruppe mit drei Mitgliedern (GroupOfThree) und eine Benutzerrolle, die zehn Benutzer repräsentiert (RoleOfTen).

Genehmigungsebene, bei der drei Genehmigungen erforderlich sind und vier Genehmiger angegeben sind.

Wenn alle drei Benutzer in der GroupOfThree-Gruppe die Änderungsanfrage genehmigen, wird er für diese Ebene genehmigt. Es ist nicht erforderlich, eine Genehmigung von jedem Benutzer, Gruppe oder Rolle zu erhalten. Die Mindestanzahl an Genehmigungen kann von einer beliebigen Kombination potenzieller Genehmiger stammen.

Wenn Ihre Änderungsanforderung erstellt wurde, werden Benachrichtigungen an Abonnenten des SNS Amazon-Themas gesendet, das für Genehmigungsbenachrichtigungen auf dieser Ebene angegeben wurde. Der Ersteller der Änderungsvorlage hat möglicherweise das zu verwendende Benachrichtigungsthema angegeben oder Ihnen erlaubt, eines anzugeben.

Sobald die Mindestanzahl der erforderlichen Genehmigungen auf einer Ebene eingegangen ist, werden Benachrichtigungen an Genehmiger gesendet, die das SNS Amazon-Thema für die nächste Stufe abonniert haben, usw.

Unabhängig davon, wie viele Genehmigungsebenen und Genehmiger angegeben sind, ist nur eine Ablehnung einer Änderungsanfrage erforderlich, um zu verhindern, dass der Runbook-Workflow für diese Anforderung ausgeführt wird.

Erstellen von Änderungsanforderungen (Konsole)

Im Folgenden wird beschrieben, wie Sie eine Änderungsanforderung mit Hilfe der Systems Manager-Konsole erstellen.

So erstellen Sie eine Änderungsanforderung (Konsole)

  1. Öffnen Sie die Konsole unter AWS Systems Manager . https://console.aws.amazon.com/systems-manager/

  2. Wählen Sie im Navigationsbereich Change Manager aus.

  3. Wählen Sie Create request (Erstellen einer Anfrage).

  4. Suchen Sie nach einer Änderungsvorlage, die Sie für diese Änderungsanforderung verwenden möchten, und wählen Sie sie aus.

  5. Wählen Sie Weiter.

  6. Geben Sie für Name einen Namen für die Änderungsanforderung ein, mit der ihre Funktion leicht zu erkennen ist, z. B. UpdateEC2LinuxAMI-us-east-2.

  7. Wählen Sie für Runbook das Runbook aus, das Sie für die gewünschte Änderung verwenden möchten.

    Anmerkung

    Wenn die Option zum Auswählen eines Runbooks nicht verfügbar ist, hat der Autor der Änderungsvorlage angegeben, welches Runbook verwendet werden muss.

  8. Verwenden Sie für Change request information (Informationen zu Änderungsanforderung) Markdown, um zusätzliche Informationen zur Änderungsanforderung bereitzustellen, damit Prüfer entscheiden können, ob sie die Änderungsanforderung genehmigen oder ablehnen möchten. Der Autor der Vorlage, die Sie verwenden, hat möglicherweise Anweisungen oder Fragen zur Beantwortung bereitgestellt.

    Anmerkung

    Markdown ist eine Markup-Sprache, die es Ihnen ermöglicht, Dokumente und einzelne Schritte innerhalb des Dokuments mit Beschreibungen im Wiki-Stil zu versehen. Weitere Informationen zur Verwendung von Markdown finden Sie unter Verwenden von Markdown in AWS.

  9. Wählen Sie im Abschnitt Workflow start time (Workflow-Startzeit) eine der folgenden Optionen:

    • Run the operation at a scheduled time (Ausführen des Vorgangs zu einem geplanten Zeitpunkt) - Geben Sie für Requested start time (Gewünschte Startzeit) das Datum und die Uhrzeit ein, die Sie für die Ausführung des Runbook-Workflows für diesen Auftrag vorschlagen. Geben Sie bei Estimated end time (Geschätzte Endzeit) das Datum und die Uhrzeit ein, zu der der Runbook-Workflow voraussichtlich abgeschlossen sein wird. (Diese Zeit ist nur eine Schätzung, die Sie Prüfern zur Verfügung stellen.)

      Tipp

      Wählen Sie View Change Calendar (Änderungskalender anzeigen), um zu prüfen, ob für die von Ihnen angegebene Zeit Sperrungen vorliegen.

    • Führen Sie den Vorgang so schnell wie möglich nach der Genehmigung aus. - Wenn die Änderungsanforderung genehmigt wird, wird der Runbook-Workflow ausgeführt, sobald ein Zeitraum nicht eingeschränkt ist, in dem Änderungen vorgenommen werden können.

  10. Im Abschnitt Change request approvals (Genehmigungen für Änderungsanträge) gehen Sie wie folgt vor:

    1. Wenn Approval type (Genehmigungstyp)-Optionen angezeigt werden, wählen Sie eine der folgenden Optionen:

      • Automatic approval (Automatische Genehmigung) - Die ausgewählte Änderungsvorlage ist so konfiguriert, dass Änderungsanforderungen automatisch ausgeführt werden können - ohne Prüfung durch Genehmiger. Fahren Sie fort mit Schritt 11.

        Anmerkung

        Die in den IAM Richtlinien für Ihre Verwendung von Systems Manager angegebenen Berechtigungen dürfen Sie nicht daran hindern, Änderungsanträge zur automatischen Genehmigung einzureichen, damit diese automatisch ausgeführt werden.

      • Genehmiger angeben — Sie müssen einen oder mehrere Benutzer, Gruppen oder IAM Rollen hinzufügen, um diese Änderungsanforderung zu überprüfen und zu genehmigen.

        Anmerkung

        Sie können Prüfer angeben, auch wenn die in den IAM Richtlinien für Ihre Verwendung von Systems Manager angegebenen Berechtigungen es Ihnen ermöglichen, Änderungsanforderungen zur automatischen Genehmigung auszuführen.

    2. Wählen Sie Genehmiger hinzufügen und wählen Sie dann einen oder mehrere Benutzer, Gruppen oder AWS Identity and Access Management (IAM) Rollen aus der Liste der verfügbaren Prüfer aus.

      Anmerkung

      Möglicherweise sind bereits ein oder mehrere Genehmiger angegeben. Dies bedeutet, dass obligatorische Genehmiger bereits in der von Ihnen ausgewählten Änderungsvorlage angegeben sind. Diese Genehmiger können nicht aus der Anforderung entfernt werden. Wenn die Schaltfläche Genehmiger hinzufügen nicht verfügbar ist, lässt die von Ihnen ausgewählte Vorlage nicht zu, dass zusätzliche Prüfer zu Anfragen hinzugefügt werden.

      Weitere Informationen zum Genehmigen von Änderungsanfragen finden Sie unter Über die Genehmigung von Änderungsanfragen.

    3. Wählen Sie unter SNSThema zur Benachrichtigung von Genehmigern eine der folgenden Optionen aus, um das SNS Amazon-Thema in Ihrem Konto anzugeben, das für das Senden von Benachrichtigungen an die Genehmiger verwendet werden soll, die Sie zu dieser Änderungsanforderung hinzufügen.

      Anmerkung

      Wenn die Option zur Angabe eines SNS Amazon-Themas nicht verfügbar ist, gibt die von Ihnen gewählte Änderungsvorlage bereits das zu verwendende SNS Amazon-Thema an.

      • Geben Sie einen SNS Amazon-Ressourcennamen ein (ARN) — Geben Sie als Thema ARN den Namen ARN eines vorhandenen SNS Amazon-Themas ein. Dieses Thema kann sich in jedem Konto Ihrer Organisation befinden.

      • Wählen Sie ein vorhandenes SNS Thema aus — Wählen Sie unter Target-Benachrichtigungsthema das ARN eines bestehenden SNS Amazon-Themas in Ihrem aktuellen Konto aus. (Diese Option ist nicht verfügbar, wenn Sie in Ihrem aktuellen AWS-Konto und noch keine SNS Amazon-Themen erstellt haben AWS-Region.)

      Anmerkung

      Das von Ihnen ausgewählte SNS Amazon-Thema muss so konfiguriert sein, dass es die Benachrichtigungen, die es sendet, und die Abonnenten, an die sie gesendet werden, angibt. Seine Zugriffsrichtlinie muss auch Systems Manager Berechtigungen gewähren, damit Change Manager Benachrichtigungen senden kann. Weitere Informationen finden Sie unter Konfigurieren von Amazon SNS-Themen für Change Manager-Benachrichtigungen.

    4. Wählen Sie Add notification (Benachrichtigung hinzufügen) aus.

  11. Wählen Sie Weiter.

  12. Wählen Sie unter IAMRolle eine IAM Rolle in Ihrem aktuellen Konto aus, die über die erforderlichen Berechtigungen verfügt, um die Runbooks auszuführen, die für diese Änderungsanforderung angegeben sind.

    Diese Rolle wird auch als Dienstrolle bezeichnet oder Übernahmerolle für Automation. Weitere Informationen über diese Rolle finden Sie unter Einrichten der Automatisierung.

  13. Wählen Sie im Abschnitt Deployment location (Standort der Bereitstellung) eine der folgenden Optionen:

    Anmerkung

    Wenn Sie AWS-Konto nur Change Manager mit einer einzigen Person und nicht mit einer Organisation AWS Organizations, in der Sie eingerichtet sind, verwenden, müssen Sie keinen Bereitstellungsort angeben.

    • Apply change to this account (Änderung auf dieses Konto anwenden)— Der Runbook-Workflow wird nur im aktuellen Konto ausgeführt. Für eine Organisation bedeutet dies das delegierte Administratorkonto.

    • Änderung auf mehrere Organisationseinheiten anwenden (OUs) — Gehen Sie wie folgt vor:

      1. Geben Sie für Konten und Organisationseinheiten (OUs) die ID eines Mitgliedskontos in Ihrer Organisation im Format 123456789012 oder die ID einer Organisationseinheit im Format eino-o96EXAMPLE.

      2. (Optional) Geben Sie unter Name der Ausführungsrolle den Namen der IAM Rolle im Zielkonto oder der Organisationseinheit ein, die über die erforderlichen Berechtigungen verfügt, um die Runbooks auszuführen, die für diese Änderungsanforderung angegeben sind. Alle Konten in einer von Ihnen angegebenen Organisationseinheit sollten für diese Rolle denselben Namen verwenden.

      3. (Optional) Wählen Sie Add another target location (Weiteres Ziel hinzufügen) für jedes zusätzliche Konto oder jede Organisationseinheit, die Sie angeben möchten, und wiederholen Sie die Schritte a und b.

      4. Wählen Sie für Target die Region aus AWS-Region, in der die Änderung vorgenommen werden soll, z. B. Ohio (us-east-2) für die Region USA Ost (Ohio).

      5. Erweitern Sie den Reiter Rate control (Ratenregelung).

        Geben Sie für Concurrency (Gleichzeitigkeit) eine Zahl ein, und wählen Sie dann aus der Liste aus, ob dies die Anzahl oder den Prozentsatz der Konten darstellt, in denen der Runbook-Workflow gleichzeitig ausgeführt werden kann.

        Geben Sie für Error threshold (Schwellenwert-Fehler) eine Zahl ein und wählen Sie dann aus der Liste aus, ob dies die Anzahl oder den Prozentsatz der Konten darstellt, bei denen der Runbook-Workflow fehlschlagen kann, bevor der Vorgang beendet wird.

  14. Gehen Sie im Abschnitt Deployment targets (Bereitstellungsziele) wie folgt vor:

    1. Wählen Sie eine der folgenden Optionen aus:

      • Single resource (Einzelne Ressource) - Die Änderung soll nur für eine Ressource vorgenommen werden. Zum Beispiel, ein einzelner Knoten oder ein einzelnes Amazon Machine Image (AMI), je nach der in den Runbooks für diesen Änderungsauftrag definierten Operation.

      • Multiple resources (Mehrere Ressourcen) - Wählen Sie für Parameter die verfügbaren Parameter aus den Runbooks für diesen Änderungsauftrag aus. Diese Auswahl spiegelt den Typ der Ressource wider, die aktualisiert wird.

        Wenn das Runbook für diese Änderungsanforderung beispielsweise AWS-RetartEC2Instance ist, können Sie InstanceId wählen und dann festlegen, welche Instances aktualisiert werden, indem Sie eine der folgenden Optionen auswählen:

        • Specify tags (Tags angeben) - Geben Sie ein Schlüssel-Wert-Paar ein, mit dem alle zu aktualisierenden Ressourcen getaggt werden.

        • Choose a resource group (Eine Ressourcengruppe auswählen) - Wählen Sie den Namen der Ressourcengruppe aus, zu der alle zu aktualisierenden Ressourcen gehören.

        • Specify parameter values (Parameterwerte angeben) - Identifizieren Sie die zu aktualisierenden Ressourcen im Abschnitt Runbook parameters (Runbook-Parameter).

        • Target all instances (Alle Instances anvisieren) – Nehmen Sie die Änderung für alle verwalteten Knoten an den Zielorten vor.

    2. Wenn Sie Multiple resources (Mehrere Ressourcen) wählen, erweitern Sie Rate control (Ratenregelung).

      Geben Sie für Concurrency (Gleichzeitigkeit) eine Zahl ein und wählen Sie dann aus der Liste aus, ob dies die Anzahl oder den Prozentsatz der Ziele darstellt, die der Runbook-Workflow gleichzeitig aktualisieren kann.

      Geben Sie für Error threshold (Schwellenwert-Fehler) eine Zahl ein und wählen Sie dann aus der Liste aus, ob dies die Anzahl oder den Prozentsatz der Ziele darstellt, bei denen die Aktualisierung fehlschlagen kann, bevor der Vorgang beendet wird.

  15. Wenn Sie Specify parameter values (Parameterwerte angeben) gewählt haben, um mehrere Ressourcen im vorherigen Schritt zu aktualisieren: Geben Sie im Abschnitt Runbook parameters (Runbook-Parameter die Werte für die erforderlichen Eingabeparameter an. Die Parameterwerte, die Sie angeben müssen, basieren auf dem Inhalt der Automation-Runbooks, die der ausgewählten Änderungsvorlage zugeordnet sind.

    Wenn die Änderungsvorlage beispielsweise das AWS-RetartEC2Instance Runbook verwendet, müssen Sie eine oder mehrere Instanzen IDs für den InstanceIdParameter eingeben. Alternativ können Sie Show interactive instance picker (Interaktive Instance-Auswahl anzeigen) wählen und nachher die verfügbaren Instance einzeln auswählen.

  16. Wählen Sie Weiter.

  17. Überprüfen Sie auf der Seite Review and submit (Überprüfen und Einreichen) die Ressourcen und Optionen, die Sie für diesen Änderungsantrag angegeben haben.

    Wählen Sie die Schaltfläche Bearbeiten für jeden Abschnitt, an dem Sie Änderungen vornehmen möchten.

    Wenn Sie mit den Details zur Änderungsanforderung zufrieden sind, klicken Sie auf Submit for approval (Zur Genehmigung einreichen).

Wenn in der Änderungsvorlage, die Sie für die Anfrage ausgewählt haben, ein SNS Amazon-Thema angegeben wurde, werden Benachrichtigungen gesendet, wenn die Anfrage abgelehnt oder genehmigt wurde. Wenn Sie keine Benachrichtigungen für die Anfrage erhalten, können Sie zu Change Manager zurückkehren, um den Status Ihrer Anfrage zu überprüfen.

Erstellen von Änderungsanforderungen (AWS CLI)

Sie können mithilfe von AWS Command Line Interface (AWS CLI) eine Änderungsanforderung erstellen, indem Sie Optionen und Parameter für die Änderungsanforderung in einer JSON Datei angeben und die --cli-input-json Option verwenden, um sie in Ihren Befehl aufzunehmen.

So erstellen Sie eine Änderungsanforderung (AWS CLI)

  1. Installieren und konfigurieren Sie das AWS CLI oder das AWS Tools for PowerShell, falls Sie das noch nicht getan haben.

    Weitere Informationen finden Sie unter Installieren oder Aktualisieren der neuesten Version der AWS CLI und Installieren des AWS Tools for PowerShell.

  2. Erstellen Sie auf Ihrem lokalen Computer eine JSON Datei mit einem Namen wie MyChangeRequest.json und fügen Sie den folgenden Inhalt ein.

    Ersetzen placeholders mit Werten für Ihre Änderungsanforderung.

    Anmerkung

    In diesem Beispiel JSON wird mithilfe der AWS-HelloWorldChangeTemplate Änderungsvorlage und des AWS-HelloWorld Runbooks eine Änderungsanforderung erstellt. Informationen zu allen verfügbaren Parametern finden Sie in der AWS Systems Manager APIReferenz, um Ihnen StartChangeRequestExecutionbei der Anpassung dieses Beispiels an Ihre eigenen Änderungsanforderungen zu helfen

    Weitere Informationen zum Genehmigen von Änderungsanfragen finden Sie unter Über die Genehmigung von Änderungsanfragen.

    {
    "ChangeRequestName": "MyChangeRequest",
    "DocumentName": "AWS-HelloWorldChangeTemplate",
    "DocumentVersion": "$DEFAULT",
    "ScheduledTime": "2021-12-30T03:00:00",
    "ScheduledEndTime": "2021-12-30T03:05:00",
    "Tags": [
        {
            "Key": "Purpose",
            "Value": "Testing"
        }
    ],
    "Parameters": {
        "Approver": [
            "JohnDoe"
        ],
        "ApproverType": [
            "IamUser"
        ],
        "ApproverSnsTopicArn": [
            "arn:aws:sns:us-east-2:123456789012:MyNotificationTopic"
        ]
    },
    "Runbooks": [
        {
            "DocumentName": "AWS-HelloWorld",
            "DocumentVersion": "1",
            "MaxConcurrency": "1",
            "MaxErrors": "1",
            "Parameters": {
                "AutomationAssumeRole": [
                    "arn:aws:iam::123456789012:role/MyChangeManagerAssumeRole"
                ]
            }
        }
    ],
    "ChangeDetails": "### Document Name: HelloWorldChangeTemplate\n\n## What does this document do?\nThis change template demonstrates the feature set available for creating change templates for Change Manager. This template starts a Runbook workflow for the Automation document called AWS-HelloWorld.\n\n## Input Parameters\n* ApproverSnsTopicArn: (Required) Amazon Simple Notification Service ARN for approvers.\n* Approver: (Required) The name of the approver to send this request to.\n* ApproverType: (Required) The type of reviewer.\n  * Allowed Values: IamUser, IamGroup, IamRole, SSOGroup, SSOUser\n\n## Output Parameters\nThis document has no outputs \n"
}

  3. Führen Sie in dem Verzeichnis, in dem Sie die JSON Datei erstellt haben, den folgenden Befehl aus.

    aws ssm start-change-request-execution --cli-input-json file://MyChangeRequest.json

    Das System gibt unter anderem folgende Informationen zurück

    {
    "AutomationExecutionId": "b3c1357a-5756-4839-8617-2d2a4EXAMPLE"
}