Erstellen von Änderungsanforderungen - AWS Systems Manager
Über die Genehmigung von ÄnderungsanfragenErstellen von Änderungsanforderungen (Konsole)Erstellen von Änderungsanforderungen (AWS CLI)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Änderungsanforderungen

Wenn Sie eine Änderungsanforderung erstellen in Change Manager, ein Tool in AWS Systems Manager, die von Ihnen gewählte Änderungsvorlage hat in der Regel folgende Aufgaben:

  • Bestimmt Genehmiger für die Änderungsanforderung oder gibt an, wie viele Genehmigungen erforderlich sind

  • Gibt das Amazon Simple Notification Service (Amazon SNS)-Thema an, das verwendet werden soll, um Genehmiger über Ihre Änderungsanforderung zu benachrichtigen

  • Spezifiziert einen CloudWatch Amazon-Alarm zur Überwachung des Runbook-Workflows für die Änderungsanforderung

  • Identifiziert, aus welchen Automation-Runbooks Sie wählen können, um die angeforderte Änderung vorzunehmen

In einigen Fällen kann eine Änderungsvorlage konfiguriert werden, sodass Sie Ihr eigenes Automation-Runbook angeben und angeben, wer die Anforderung überprüfen und genehmigen soll.

Wichtig

Wenn Sie verwenden Change Manager Wir empfehlen unternehmensweit, Änderungen immer vom delegierten Administratorkonto aus vorzunehmen. Obwohl Sie Änderungen von anderen Konten in der Organisation vornehmen, werden diese Änderungen nicht im delegierten Administratorkonto gemeldet oder können nicht angezeigt werden.

Über die Genehmigung von Änderungsanfragen

Abhängig von den in einer Änderungsvorlage festgelegten Anforderungen können Änderungsanfragen, die Sie auf dieser Grundlage erstellen, Genehmigungen von bis zu fünf Ebenen erfordern, bevor der Runbook-Workflow für die Anfrage ausgeführt werden kann. Für jede dieser Ebenen kann der Ersteller der Vorlage bis zu fünf potenzielle Genehmiger angeben. Ein Genehmiger ist nicht auf einen einzelnen Benutzer beschränkt. Ein Genehmiger in diesem Sinne kann auch eine IAM-Gruppe oder IAM-Rolle sein. Für IAM-Gruppen und IAM-Rollen können ein oder mehrere Benutzer, die zu der Gruppe oder Rolle gehören, Genehmigungen für den Erhalt der Gesamtzahl der Genehmigungen erteilen, die für eine Änderungsanforderung erforderlich sind. Ersteller von Vorlagen können auch mehr Genehmiger angeben, als die Änderungsvorlage erfordert.

Ursprüngliche Genehmigungs-Workflows und aktualisierte und/oder Genehmigungen

Bei Verwendung von Änderungsvorlagen, die vor dem 23. Januar 2023 erstellt wurden, muss eine Genehmigung von jedem angegebenen Genehmiger eingeholt werden, damit die Änderungsanfrage auf dieser Ebene genehmigt werden kann. Beispielsweise sind in der Einrichtung der Genehmigungsebene, die im folgenden Image angezeigt werden, vier Genehmiger angegeben. Zu den angegebenen Genehmigern gehören zwei Benutzer (John Stiles und Ana Carolina Silva), eine Benutzergruppe mit drei Mitgliedern (GroupOfThree) und eine Benutzerrolle, die zehn Benutzern () entspricht. RoleOfTen

Genehmigungsebene mit vier erforderlichen Genehmigern pro Zeile.

Damit die Änderungsanfrage auf dieser Ebene genehmigt werden kann, muss sie von John Stiles, Ana Carolina Silva, einem Mitglied der GroupOfThree-Gruppe und einem Mitglied der RoleOfTen-Rolle genehmigt werden.

Unter Verwendung von Änderungsvorlagen, die am oder nach dem 23. Januar 2023 erstellt wurden, können Vorlagenersteller für jede Genehmigungsebene eine Gesamtzahl der erforderlichen Genehmigungen angeben. Diese Genehmigungen können aus einer beliebigen Kombination von Benutzern, Gruppen und Rollen stammen, die als Genehmiger angegeben sind. Eine Änderungsvorlage könnte nur eine Genehmigung für eine Ebene erfordern, aber beispielsweise zwei einzelne Benutzer, zwei Gruppen und eine Rolle als potenzielle Genehmiger angeben.

Beispielsweise sind in der Einrichtung der Genehmigungsebene, die im folgenden Image angezeigt werden, pro Ebene drei Genehmigungen erforderlich. Zu den angegebenen Genehmigern gehören zwei Benutzer (John Stiles und Ana Carolina Silva), eine Benutzergruppe mit drei Mitgliedern (GroupOfThree) und eine Benutzerrolle, die zehn Benutzer repräsentiert (RoleOfTen).

Genehmigungsebene, bei der drei Genehmigungen erforderlich sind und vier Genehmiger angegeben sind.

Wenn alle drei Benutzer in der GroupOfThree-Gruppe die Änderungsanfrage genehmigen, wird er für diese Ebene genehmigt. Es ist nicht erforderlich, eine Genehmigung von jedem Benutzer, Gruppe oder Rolle zu erhalten. Die Mindestanzahl an Genehmigungen kann von einer beliebigen Kombination potenzieller Genehmiger stammen.

Wenn Ihre Änderungsanfrage erstellt wird, werden Benachrichtigungen an die Abonnenten des Amazon-SNS-Themas gesendet, das für Genehmigungsbenachrichtigungen auf dieser Ebene angegeben wurde. Der Ersteller der Änderungsvorlage hat möglicherweise das zu verwendende Benachrichtigungsthema angegeben oder Ihnen erlaubt, eines anzugeben.

Nachdem die Mindestanzahl erforderlicher Genehmigungen auf einer Ebene eingegangen ist, werden Benachrichtigungen an Genehmiger gesendet, die das Amazon-SNS-Thema für die nächste Ebene abonniert haben, und so weiter.

Unabhängig davon, wie viele Genehmigungsebenen und Genehmiger angegeben sind, ist nur eine Ablehnung einer Änderungsanfrage erforderlich, um zu verhindern, dass der Runbook-Workflow für diese Anforderung ausgeführt wird.

Erstellen von Änderungsanforderungen (Konsole)

Im Folgenden wird beschrieben, wie Sie eine Änderungsanforderung mit Hilfe der Systems Manager-Konsole erstellen.

So erstellen Sie eine Änderungsanforderung (Konsole)

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Change Manager.

  3. Wählen Sie Create request (Erstellen einer Anfrage).

  4. Suchen Sie nach einer Änderungsvorlage, die Sie für diese Änderungsanforderung verwenden möchten, und wählen Sie sie aus.

  5. Wählen Sie Weiter.

  6. Geben Sie für Name einen Namen für die Änderungsanforderung ein, mit der ihre Funktion leicht zu erkennen ist, z. B. UpdateEC2LinuxAMI-us-east-2.

  7. Wählen Sie für Runbook das Runbook aus, das Sie für die gewünschte Änderung verwenden möchten.

    Anmerkung

    Wenn die Option zum Auswählen eines Runbooks nicht verfügbar ist, hat der Autor der Änderungsvorlage angegeben, welches Runbook verwendet werden muss.

  8. Verwenden Sie für Change request information (Informationen zu Änderungsanforderung) Markdown, um zusätzliche Informationen zur Änderungsanforderung bereitzustellen, damit Prüfer entscheiden können, ob sie die Änderungsanforderung genehmigen oder ablehnen möchten. Der Autor der Vorlage, die Sie verwenden, hat möglicherweise Anweisungen oder Fragen zur Beantwortung bereitgestellt.

    Anmerkung

    Markdown ist eine Markup-Sprache, die es Ihnen ermöglicht, Dokumente und einzelne Schritte innerhalb des Dokuments mit Beschreibungen im Wiki-Stil zu versehen. Weitere Informationen zur Verwendung von Markdown finden Sie unter Verwenden von Markdown in AWS.

  9. Wählen Sie im Abschnitt Workflow start time (Workflow-Startzeit) eine der folgenden Optionen:

    • Run the operation at a scheduled time (Ausführen des Vorgangs zu einem geplanten Zeitpunkt) - Geben Sie für Requested start time (Gewünschte Startzeit) das Datum und die Uhrzeit ein, die Sie für die Ausführung des Runbook-Workflows für diesen Auftrag vorschlagen. Geben Sie bei Estimated end time (Geschätzte Endzeit) das Datum und die Uhrzeit ein, zu der der Runbook-Workflow voraussichtlich abgeschlossen sein wird. (Diese Zeit ist nur eine Schätzung, die Sie Prüfern zur Verfügung stellen.)

      Tipp

      Wählen Sie View Change Calendar (Änderungskalender anzeigen), um zu prüfen, ob für die von Ihnen angegebene Zeit Sperrungen vorliegen.

    • Führen Sie den Vorgang so schnell wie möglich nach der Genehmigung aus. - Wenn die Änderungsanforderung genehmigt wird, wird der Runbook-Workflow ausgeführt, sobald ein Zeitraum nicht eingeschränkt ist, in dem Änderungen vorgenommen werden können.

  10. Im Abschnitt Change request approvals (Genehmigungen für Änderungsanträge) gehen Sie wie folgt vor:

    1. Wenn Approval type (Genehmigungstyp)-Optionen angezeigt werden, wählen Sie eine der folgenden Optionen:

      • Automatic approval (Automatische Genehmigung) - Die ausgewählte Änderungsvorlage ist so konfiguriert, dass Änderungsanforderungen automatisch ausgeführt werden können - ohne Prüfung durch Genehmiger. Fahren Sie fort mit Schritt 11.

        Anmerkung

        Die in den IAM-Richtlinien angegebenen Berechtigungen, die Ihre Verwendung von Systems Manager regeln, dürfen Sie nicht daran hindern, Änderungsanforderungen zur automatischen Genehmigung zu übermitteln, damit sie automatisch ausgeführt werden können.

      • Specify approvers (Angeben von Genehmigern) - Sie müssen einen oder mehrere Benutzer, Gruppen oder IAM-Rollen hinzufügen, um diese Änderungsanforderung zu überprüfen und zu genehmigen.

        Anmerkung

        Sie können Überprüfer auch dann angeben, wenn die in den IAM-Richtlinien, die Ihre Verwendung von Systems Manager regeln, festgelegten Berechtigungen die Ausführung von Änderungsanforderungen mit automatischer Genehmigung erlauben.

    2. Wählen Sie Genehmiger hinzufügen und wählen Sie dann einen oder mehrere Benutzer, Gruppen oder AWS Identity and Access Management (IAM-) Rollen aus der Liste der verfügbaren Prüfer aus.

      Anmerkung

      Möglicherweise sind bereits ein oder mehrere Genehmiger angegeben. Dies bedeutet, dass obligatorische Genehmiger bereits in der von Ihnen ausgewählten Änderungsvorlage angegeben sind. Diese Genehmiger können nicht aus der Anforderung entfernt werden. Wenn die Schaltfläche Genehmiger hinzufügen nicht verfügbar ist, lässt die von Ihnen ausgewählte Vorlage nicht zu, dass zusätzliche Prüfer zu Anfragen hinzugefügt werden.

      Weitere Informationen zum Genehmigen von Änderungsanfragen finden Sie unter Über die Genehmigung von Änderungsanfragen.

    3. Wählen Sie unter SNS topic to notify approvers (SNS-Thema zur Benachrichtigung von Genehmigern) eine der folgenden Optionen, um das Amazon SNS-Thema in Ihrem Konto anzugeben, das zum Senden von Benachrichtigungen an die Genehmigenden verwendet werden soll, die Sie zu dieser Änderungsanforderung hinzufügen.

      Anmerkung

      Wenn die Option zum Angeben eines Amazon SNS-Themas nicht verfügbar ist, gibt die von Ihnen ausgewählte Änderungsvorlage bereits das zu verwendende Amazon SNS-Thema an.

      • Geben Sie einen SNS-Amazon-Ressourcenname (ARN) ein - Geben Sie für Thema-ARN einen ARN eines vorhandenen Amazon SNS Themas ein. Dieses Thema kann sich in jedem Konto Ihrer Organisation befinden.

      • Wählen Sie ein vorhandenes SNS-Thema - Wählen Sie für Target notification topic den ARN eines vorhandenen Amazon SNS-Themas in Ihrem aktuellen Konto. (Diese Option ist nicht verfügbar, wenn Sie in Ihrem aktuellen AWS-Konto und noch keine Amazon SNS SNS-Themen erstellt haben AWS-Region.)

      Anmerkung

      Das von Ihnen ausgewählte Amazon SNS-Thema muss so konfiguriert werden, dass die gesendeten Benachrichtigungen und die Abonnenten, an die sie gesendet werden, festgelegt werden. Seine Zugriffsrichtlinie muss also auch Systems Manager Berechtigungen gewähren Change Manager kann Benachrichtigungen senden. Weitere Informationen finden Sie unter Konfiguration von Amazon SNS SNS-Themen für Change Manager Benachrichtigungen.

    4. Wählen Sie Add notification (Benachrichtigung hinzufügen) aus.

  11. Wählen Sie Weiter.

  12. Wählen Sie für IAM role (IAM-Rolle) eine IAM-Rolle in Ihrem aktuellen Konto aus, die über die erforderlichen Berechtigungen zur Ausführung der Runbooks verfügt, die für diese Änderungsanforderung angegeben sind.

    Diese Rolle wird auch als Dienstrolle bezeichnet oder Übernahmerolle für Automation. Weitere Informationen über diese Rolle finden Sie unter Einrichten der Automatisierung.

  13. Wählen Sie im Abschnitt Deployment location (Standort der Bereitstellung) eine der folgenden Optionen:

    Anmerkung

    Wenn du verwendest Change Manager Wenn Sie AWS-Konto nur ein einziges Unternehmen verwenden und nicht AWS Organizations, in dem eine Organisation eingerichtet ist, müssen Sie keinen Bereitstellungsort angeben.

    • Apply change to this account (Änderung auf dieses Konto anwenden)— Der Runbook-Workflow wird nur im aktuellen Konto ausgeführt. Für eine Organisation bedeutet dies das delegierte Administratorkonto.

    • Änderungen auf mehrere Organisationseinheiten anwenden (OUs) — Gehen Sie wie folgt vor:

      1. Geben Sie für Konten und Organisationseinheiten (OUs) die ID eines Mitgliedskontos in Ihrer Organisation im Format 123456789012 oder die ID einer Organisationseinheit im Format eino-o96EXAMPLE.

      2. (Optional) Geben Sie für Execution role name (Name der Ausführungsrolle) den Namen der IAM-Rolle im Zielkonto oder Organisationseinheit ein, die über die erforderlichen Berechtigungen zum Ausführen der Runbooks verfügt, die für diese Änderungsanforderung angegeben sind. Alle Konten in einer von Ihnen angegebenen Organisationseinheit sollten für diese Rolle denselben Namen verwenden.

      3. (Optional) Wählen Sie Add another target location (Weiteres Ziel hinzufügen) für jedes zusätzliche Konto oder jede Organisationseinheit, die Sie angeben möchten, und wiederholen Sie die Schritte a und b.

      4. Wählen Sie für Target die Region aus AWS-Region, in der die Änderung vorgenommen werden soll, z. B. Ohio (us-east-2) für die Region USA Ost (Ohio).

      5. Erweitern Sie den Reiter Rate control (Ratenregelung).

        Geben Sie für Concurrency (Gleichzeitigkeit) eine Zahl ein, und wählen Sie dann aus der Liste aus, ob dies die Anzahl oder den Prozentsatz der Konten darstellt, in denen der Runbook-Workflow gleichzeitig ausgeführt werden kann.

        Geben Sie für Error threshold (Schwellenwert-Fehler) eine Zahl ein und wählen Sie dann aus der Liste aus, ob dies die Anzahl oder den Prozentsatz der Konten darstellt, bei denen der Runbook-Workflow fehlschlagen kann, bevor der Vorgang beendet wird.

  14. Gehen Sie im Abschnitt Deployment targets (Bereitstellungsziele) wie folgt vor:

    1. Wählen Sie eine der folgenden Optionen aus:

      • Single resource (Einzelne Ressource) - Die Änderung soll nur für eine Ressource vorgenommen werden. Zum Beispiel ein einzelner Knoten oder ein einzelner Amazon Machine Image (AMI), abhängig von der Operation, die in den Runbooks für diese Änderungsanforderung definiert ist.

      • Multiple resources (Mehrere Ressourcen) - Wählen Sie für Parameter die verfügbaren Parameter aus den Runbooks für diesen Änderungsauftrag aus. Diese Auswahl spiegelt den Typ der Ressource wider, die aktualisiert wird.

        Wenn das Runbook für diese Änderungsanforderung beispielsweise AWS-RetartEC2Instance ist, können Sie InstanceId wählen und dann festlegen, welche Instances aktualisiert werden, indem Sie eine der folgenden Optionen auswählen:

        • Specify tags (Tags angeben) - Geben Sie ein Schlüssel-Wert-Paar ein, mit dem alle zu aktualisierenden Ressourcen getaggt werden.

        • Choose a resource group (Eine Ressourcengruppe auswählen) - Wählen Sie den Namen der Ressourcengruppe aus, zu der alle zu aktualisierenden Ressourcen gehören.

        • Specify parameter values (Parameterwerte angeben) - Identifizieren Sie die zu aktualisierenden Ressourcen im Abschnitt Runbook parameters (Runbook-Parameter).

        • Target all instances (Alle Instances anvisieren) – Nehmen Sie die Änderung für alle verwalteten Knoten an den Zielorten vor.

    2. Wenn Sie Multiple resources (Mehrere Ressourcen) wählen, erweitern Sie Rate control (Ratenregelung).

      Geben Sie für Concurrency (Gleichzeitigkeit) eine Zahl ein und wählen Sie dann aus der Liste aus, ob dies die Anzahl oder den Prozentsatz der Ziele darstellt, die der Runbook-Workflow gleichzeitig aktualisieren kann.

      Geben Sie für Error threshold (Schwellenwert-Fehler) eine Zahl ein und wählen Sie dann aus der Liste aus, ob dies die Anzahl oder den Prozentsatz der Ziele darstellt, bei denen die Aktualisierung fehlschlagen kann, bevor der Vorgang beendet wird.

  15. Wenn Sie Specify parameter values (Parameterwerte angeben) gewählt haben, um mehrere Ressourcen im vorherigen Schritt zu aktualisieren: Geben Sie im Abschnitt Runbook parameters (Runbook-Parameter die Werte für die erforderlichen Eingabeparameter an. Die Parameterwerte, die Sie angeben müssen, basieren auf dem Inhalt der Automation-Runbooks, die der ausgewählten Änderungsvorlage zugeordnet sind.

    Wenn die Änderungsvorlage beispielsweise das AWS-RetartEC2Instance Runbook verwendet, müssen Sie eine oder mehrere Instanzen IDs für den InstanceIdParameter eingeben. Alternativ können Sie Show interactive instance picker (Interaktive Instance-Auswahl anzeigen) wählen und nachher die verfügbaren Instance einzeln auswählen.

  16. Wählen Sie Weiter.

  17. Überprüfen Sie auf der Seite Review and submit (Überprüfen und Einreichen) die Ressourcen und Optionen, die Sie für diesen Änderungsantrag angegeben haben.

    Wählen Sie die Schaltfläche Bearbeiten für jeden Abschnitt, an dem Sie Änderungen vornehmen möchten.

    Wenn Sie mit den Details zur Änderungsanforderung zufrieden sind, klicken Sie auf Submit for approval (Zur Genehmigung einreichen).

Wenn in der Änderungsvorlage, die Sie für die Anfrage ausgewählt haben, ein Amazon SNS-Thema angegeben wurde, werden Benachrichtigungen gesendet, wenn die Anfrage abgelehnt oder genehmigt wird. Wenn Sie keine Benachrichtigungen für die Anfrage erhalten, können Sie zu Change Manager um den Status Ihrer Anfrage zu überprüfen.

Erstellen von Änderungsanforderungen (AWS CLI)

Sie können eine Änderungsanforderung mithilfe von AWS Command Line Interface (AWS CLI) erstellen, indem Sie Optionen und Parameter für die Änderungsanforderung in einer JSON-Datei angeben und die --cli-input-json Option verwenden, um sie in Ihren Befehl aufzunehmen.

So erstellen Sie eine Änderungsanforderung (AWS CLI)

  1. Installieren und konfigurieren Sie das AWS CLI oder das AWS Tools for PowerShell, falls Sie das noch nicht getan haben.

    Weitere Informationen finden Sie unter Installieren oder Aktualisieren der neuesten Version der AWS CLI und Installieren des AWS Tools for PowerShell.

  2. Erstellen Sie eine JSON-Datei auf Ihrem lokalen Computer und geben Sie Ihr beispielsweise einen Namen wie MyChangeRequest.json. Fügen Sie der Datei anschließend den folgenden Inhalt ein:

    placeholdersErsetzen Sie sie durch Werte für Ihre Änderungsanforderung.

    Anmerkung

    Dieser Beispiel-JSON-Code erstellt eine Änderungsanforderung mithilfe der AWS-HelloWorldChangeTemplate-Änderungsvorlage und dem AWS-HelloWorld-Runbook. Informationen zur Anpassung dieses Beispiels an Ihre eigenen Änderungsanforderungen finden Sie unter StartChangeRequestExecutionInformationen zu allen verfügbaren Parametern finden Sie in der AWS Systems Manager API-Referenz

    Weitere Informationen zum Genehmigen von Änderungsanfragen finden Sie unter Über die Genehmigung von Änderungsanfragen.

    {
    "ChangeRequestName": "MyChangeRequest",
    "DocumentName": "AWS-HelloWorldChangeTemplate",
    "DocumentVersion": "$DEFAULT",
    "ScheduledTime": "2021-12-30T03:00:00",
    "ScheduledEndTime": "2021-12-30T03:05:00",
    "Tags": [
        {
            "Key": "Purpose",
            "Value": "Testing"
        }
    ],
    "Parameters": {
        "Approver": [
            "JohnDoe"
        ],
        "ApproverType": [
            "IamUser"
        ],
        "ApproverSnsTopicArn": [
            "arn:aws:sns:us-east-2:123456789012:MyNotificationTopic"
        ]
    },
    "Runbooks": [
        {
            "DocumentName": "AWS-HelloWorld",
            "DocumentVersion": "1",
            "MaxConcurrency": "1",
            "MaxErrors": "1",
            "Parameters": {
                "AutomationAssumeRole": [
                    "arn:aws:iam::123456789012:role/MyChangeManagerAssumeRole"
                ]
            }
        }
    ],
    "ChangeDetails": "### Document Name: HelloWorldChangeTemplate\n\n## What does this document do?\nThis change template demonstrates the feature set available for creating change templates for Change Manager. This template starts a Runbook workflow for the Automation document called AWS-HelloWorld.\n\n## Input Parameters\n* ApproverSnsTopicArn: (Required) Amazon Simple Notification Service ARN for approvers.\n* Approver: (Required) The name of the approver to send this request to.\n* ApproverType: (Required) The type of reviewer.\n  * Allowed Values: IamUser, IamGroup, IamRole, SSOGroup, SSOUser\n\n## Output Parameters\nThis document has no outputs \n"
}

  3. Führen Sie in dem Verzeichnis, in dem Sie die JSON-Datei erstellt haben, den folgenden Befehl aus.

    aws ssm start-change-request-execution --cli-input-json file://MyChangeRequest.json

    Das System gibt unter anderem folgende Informationen zurück

    {
    "AutomationExecutionId": "b3c1357a-5756-4839-8617-2d2a4EXAMPLE"
}