Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôler l'accès aux flux de travail de runbook d'approbation automatique
Dans chaque modèle de modification créé pour votre organisation ou votre compte, vous pouvez spécifier si les demandes de modifications créées à partir de ce modèle peuvent être exécutées en tant que des demandes de modifications approuvées automatiquement, ce qui signifie qu'elles s'exécutent automatiquement sans l'étape de vérification (à l'exception des événements de gel des modifications).
Toutefois, vous pouvez empêcher certains utilisateurs, groupes ou rôles AWS Identity and Access Management (IAM) d'exécuter des demandes de modifications approuvées automatiquement même si un modèle de modification l'autorise. Pour cela, vous pouvez utiliser la clé de condition ssm:AutoApprove pour l'opération StartChangeRequestExecution dans une politique IAM affectée à l'utilisateur, au groupe ou au rôle IAM.
Vous pouvez ajouter la politique suivante en tant que politique intégrée, dans laquelle la condition est spécifiée comme false, pour empêcher les utilisateurs d'exécuter des demandes de modifications à approbation automatique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ssm:StartChangeRequestExecution", "Resource": "*", "Condition": { "BoolIfExists": { "ssm:AutoApprove": "false" } } } ] }
Pour obtenir des informations sur la spécification de politiques intégrées, veuillez consulter Politiques en ligne et Ajout et suppression d'autorisations basées sur l'identité IAM dans le Guide de l'utilisateur IAM.
Pour de plus amples informations sur les clés de condition pour les politiques Systems Manager, veuillez consulter la rubrique Clés de condition pour Systems Manager.
