Control de acceso a flujos de trabajo de manual de procedimientos de aprobación automática - AWS Systems Manager

Control de acceso a flujos de trabajo de manual de procedimientos de aprobación automática

En cada plantilla de cambios creada para su organización o cuenta, puede especificar si las solicitudes de cambio que se creen a partir de esa plantilla pueden ejecutarse como solicitudes de cambio de aprobación automática, lo que significa que se ejecutan automáticamente sin ningún paso de revisión (con la excepción de los eventos de congelación de cambios).

Sin embargo, es posible que desee evitar que ciertos usuarios, grupos o roles de AWS Identity and Access Management (IAM) ejecuten solicitudes de cambio de aprobación automática, incluso si una plantilla de cambios lo permite. Puede hacerlo mediante el uso de la clave de condición ssm:AutoApprove para la operación StartChangeRequestExecution en una política de IAM asignada al usuario, al grupo o al rol de IAM.

Puede agregar la siguiente política como una política insertada, donde la condición se especifica como false, para evitar que los usuarios ejecuten solicitudes de cambio de aprobación automática.

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Allow",
            "Action": "ssm:StartChangeRequestExecution",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "ssm:AutoApprove": "false"
                }
            }
        }
    ]
}

Para obtener más información acerca de cómo especificar políticas insertadas, consulte Políticas insertadas y Agregado y eliminación de permisos de identidad de IAM en la Guía del usuario de IAM.

Para obtener más información sobre las claves de condición de las políticas de Systems Manager, consulteClaves de condición de Systems Manager.