Création de demandes de modifications
Lorsque vous créez une demande de modification dans Change Manager, une fonctionnalité de AWS Systems Manager, le modèle de modification que vous sélectionnez effectue généralement les opérations suivantes :
-
Désigne les approbateurs de la demande de modification ou spécifie le nombre d'approbations requises
-
Spécifie la rubrique Amazon Simple Notification Service (Amazon SNS) à utiliser pour informer les approbateurs de votre demande de modification.
-
Spécifie une alarme Amazon CloudWatch pour surveiller le flux de travail de runbook pour la demande de modification
-
Identifie les runbooks Automation que vous pouvez choisir pour effectuer la modification demandée
Dans certains cas, un modèle de modification peut être configuré de sorte à spécifier l'utilisation de votre propre runbook Automation et spécifier qui doit vérifier et approuver la demande.
Important
Si vous utilisez Change Manager au sein d'une organisation, nous vous recommandons de toujours apporter les modifications à partir du compte d'administrateur délégué. Bien qu'il soit possible d'apporter des modifications à partir d'autres comptes de l'organisation, celles-ci ne seront pas signalées ou affichées à partir du compte d'administrateur délégué.
Rubriques
À propos des approbations de demandes de modification
En fonction des exigences spécifiées dans un modèle de modification, les demandes de modification que vous créez à partir de celui-ci peuvent nécessiter des approbations de cinq niveaux au maximum avant que le flux de travail de runbook associé à la demande puisse être exécuté. Pour chacun de ces niveaux, le créateur du modèle pouvait spécifier jusqu'à cinq approbateurs potentiels. Un approbateur n'est pas limité à un seul utilisateur. Dans ce sens, un approbateur peut également être un groupe IAM ou un rôle IAM. Pour les groupes IAM et les rôles IAM, un ou plusieurs utilisateurs appartenant au groupe ou au rôle peuvent fournir des approbations afin de recevoir le nombre total d'approbations requises pour une demande de modification. Les créateurs de modèles peuvent également spécifier un nombre d'approbateurs supérieur à celui requis par le modèle de modification.
Flux de travail d'approbation originaux et mis à jour et/ou approbations
À l'aide de modèles de modification créés avant le 23 janvier 2023, une approbation doit être reçue de chaque approbateur spécifié pour que la demande de modification soit approuvée à ce niveau. Par exemple, dans la configuration du niveau d'approbation présentée dans l'image suivante, quatre approbateurs sont spécifiés. Les approbateurs spécifiés incluent deux utilisateurs (John Stiles et Ana Carolina Silva), un groupe d'utilisateurs composé de trois membres (GroupOfThree) et un rôle utilisateur représentant dix utilisateurs (RoleOfTten).
Pour que la demande de modification soit approuvée à ce niveau, elle doit être approuvée par John Stiles, Ana Carolina Silva, un membre du groupe GroupOfThree
et un membre du rôle RoleOfTen
.
À l'aide de modèles de modification créés le 23 janvier 2023 ou après cette date, les créateurs de modèles peuvent spécifier le nombre total d'approbations requises pour chaque niveau d'approbation. Ces approbations peuvent provenir de n'importe quelle combinaison d'utilisateurs, de groupes et de rôles qui ont été spécifiés en tant qu'approbateurs. Un modèle de modification peut nécessiter une seule approbation pour un niveau, mais spécifier, par exemple, deux utilisateurs individuels, deux groupes et un rôle en tant qu'approbateurs potentiels.
Par exemple, dans la zone du niveau d'approbation présentée dans l'image suivante, trois approbations sont requises. Les approbateurs spécifiés dans le modèle incluent deux utilisateurs (John Stiles et Ana Carolina Silva), un groupe d'utilisateurs composé de trois membres (GroupOfThree
) et un rôle utilisateur représentant dix utilisateurs (RoleOfTen
).
Si les trois utilisateurs du groupe GroupOfThree
approuvent votre demande de modifications, elle est approuvée pour ce niveau. Il n'est pas nécessaire de recevoir l'approbation de chaque utilisateur, groupe ou rôle. Le nombre minimum d'approbations peut provenir de n'importe quelle combinaison d'approbateurs potentiels.
Lorsque votre demande de modifications est créée, des notifications sont envoyées aux abonnés du sujet Amazon SNS qui a été spécifié pour les notifications d'approbation à ce niveau. Le créateur du modèle de modifications a peut-être spécifié le sujet de notification à utiliser ou vous a autorisé à en spécifier un.
Une fois que le nombre minimum d'approbations requises est reçu à un niveau, des notifications sont envoyées aux approbateurs abonnés à la rubrique Amazon SNS pour le niveau suivant, et ainsi de suite.
Quel que soit le nombre de niveaux d'approbation et d'approbateurs spécifiés, un seul rejet d'une demande de modifications est requis pour empêcher le flux de travail du runbook pour cette demande de se produire.
Création de demandes de modifications (console)
La procédure suivante décrit comment créer une demande de modification à l'aide de la console Systems Manager.
Pour créer une demande de modification (console)
Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/
. Dans le panneau de navigation, sélectionnez Change Manager.
-
Sélectionnez Créer une demande.
-
Recherchez et sélectionnez un modèle de modification à utiliser pour cette demande de modification.
-
Sélectionnez Suivant.
-
Pour Nom de la demande de modification, saisissez un nom permettant d'identifier sa fonction,
UpdateEC2LinuxAMI-us-east-2
par exemple. -
Pour Runbook, sélectionnez le runbook à utiliser pour effectuer la modification demandée.
Note
Si l'option permettant de sélectionner un runbook n'est pas disponible, le créateur du modèle de modification a spécifié le runbook à utiliser.
-
Pour Informations sur la demande de modification, utilisez Markdown pour fournir des informations supplémentaires sur la demande de modification afin d'aider les vérificateurs à décider s'ils doivent approuver ou rejeter la demande de modification. Le créateur du modèle que vous utilisez peut avoir fourni des instructions ou des questions pour répondre.
Note
Markdown est un langage de balisage qui vous permet d'ajouter des descriptions de style wiki aux documents et des étapes individuelles au sein du document. Pour plus d'informations sur l'utilisation de Markdown, consultez Utilisation de Markdown dans AWS.
-
Dans la section Heure de début du flux de travail, sélectionnez l'une des options suivantes :
-
Exécuter l'opération à une heure planifiée : pourHeure de début demandée, saisissez la date et l'heure auxquelles vous proposez d'exécuter le flux de travail de runbook pour cette demande. Pour Heure de fin estimée, saisissez la date et l'heure de la fin attendue du flux de travail du runbook. (Cette heure n'est qu'une estimation destinée aux vérificateurs.)
Astuce
Sélectionnez Afficher le calendrier des modifications pour vérifier les événements de blocage pendant la durée spécifiée.
-
Exécuter l'opération dès que possible après l'approbation : si la demande de modification est approuvée, le flux de travail de runbook s'exécute dès qu'une période sans restriction se présente, pendant laquelle les modifications peuvent être apportées.
-
-
Dans la section Change request approvals (Approbations de demande de modification), procédez de la manière suivante :
-
Si des options Type d'approbation sont proposées, sélectionnez l'une des options suivantes :
-
Approbation automatique : le modèle de modification que vous avez sélectionné est configuré pour autoriser l'exécution automatique des demandes de modifications sans vérification par les approbateurs. Passez à l'étape 11.
Note
Les autorisations spécifiées dans les politiques IAM, qui régissent votre utilisation de Systems Manager, ne doivent pas vous empêcher d'envoyer des demandes de modifications d'approbation automatique pour qu'elles s'exécutent automatiquement.
-
Spécification des approbateurs : vous devez ajouter un ou plusieurs utilisateurs, groupes ou rôles IAM pour vérifier et approuver cette demande de modification.
Note
Vous pouvez choisir de spécifier des vérificateurs même si les autorisations spécifiées dans les politiques IAM qui régissent votre utilisation du Systems Manager vous autorisent à exécuter des demandes de modifications d'approbation automatique.
-
-
Sélectionnez Add approver (Ajouter un approbateur), puis sélectionnez un ou plusieurs utilisateurs, groupes ou rôles AWS Identity and Access Management (IAM) à partir des listes de vérificateurs disponibles.
Note
Un ou plusieurs approbateurs peuvent déjà être spécifiés. Cela signifie que les approbateurs obligatoires sont déjà spécifiés dans le modèle de modification que vous avez sélectionné. Ces approbateurs ne peuvent pas être supprimés de la demande. Si le bouton Ajouter un approbateur n'est pas activé, le modèle que vous avez choisi n'autorise pas l'ajout de vérificateurs supplémentaires aux demandes.
Pour obtenir des informations sur les approbations de demande de modifications, consultez À propos des approbations de demandes de modification.
-
Sous Rubrique SNS pour notifier les approbateurs, sélectionnez l'une des options suivantes pour spécifier la rubrique Amazon SNS de votre compte à utiliser pour envoyer des notifications aux approbateurs que vous ajoutez à cette demande de modification.
Note
Si l'option permettant de spécifier une rubrique Amazon SNS n'est pas disponible, la rubrique Amazon SNS à utiliser est déjà spécifiée dans le modèle de modification que vous avez sélectionné.
-
Saisir un Amazon Resource Name (ARN) SNS : pour ARN de rubrique, saisissez l'ARN d'une rubrique Amazon SNS existante. Cette rubrique peut se trouver dans n'importe quel compte de votre organisation.
-
Sélectionner une rubrique SNS existante : pour Rubrique de notification cible, sélectionnez l'ARN d'une rubrique Amazon SNS existante dans votre compte actuel. (Cette option n'est pas disponible si vous n'avez pas encore créé de rubriques Amazon SNS dans votre Compte AWS et votre Région AWS actuels.)
Note
La rubrique Amazon SNS que vous sélectionnez doit être configurée pour spécifier les notifications qu'elle envoie, ainsi que les abonnés auxquels elles sont envoyées. Sa politique d'accès doit également octroyer des autorisations à Systems Manager de sorte que Change Manager puisse envoyer des notifications. Pour plus d'informations, consultez Configuration des rubriques Amazon SNS pour les notifications Change Manager.
-
-
Sélectionnez Ajouter une notification.
-
-
Sélectionnez Suivant.
-
Pour IAM role (Rôle IAM), sélectionnez dans votre compte actuel un rôle IAM qui dispose des autorisations nécessaires pour exécuter les runbooks spécifiés pour cette demande de modification.
Ce rôle est également appelé fonction du service, ou rôle d'assumer, pour Automation. Pour plus d'informations sur ce rôle, consultez Configuration d'Automation.
-
Dans la section Deployment location (Emplacement de déploiement), sélectionnez l'une des options suivantes :
Note
Si vous utilisez Change Manager avec un Compte AWS unique et non avec une organisation configurée dans AWS Organizations, vous n'avez pas besoin de spécifier d'emplacement de déploiement.
-
Appliquer la modification à ce compte : le flux de travail de runbook s'exécute uniquement dans le compte actuel. Pour une organisation, cela désigne le compte d'administrateur délégué.
-
Appliquer une modification à plusieurs unités organisationnelles (UO) : procédez comme suit :
-
Pour Accounts and organizational units (OUs) (Comptes et unités organisationnelles (UO)), saisissez l'ID d'un compte membre dans votre organisation, au format
123456789012
, ou l'ID d'une unité organisationnelle, au formato-o96EXAMPLE
. -
(Facultatif) Pour Execution role name (Nom du rôle d'exécution), saisissez le nom du rôle IAM dans le compte cible ou de l'UO qui dispose des autorisations nécessaires pour exécuter les runbooks spécifiés pour cette demande de modification. Tous les comptes de l'UO que vous spécifiez doivent utiliser le même nom pour ce rôle.
-
(Facultatif) Sélectionnez Add another target location (Ajouter un emplacement cible) pour chaque compte ou UO que vous voulez spécifier, et répétez les étapes a et b.
-
Dans Target Région AWS, sélectionnez la Région pour effectuer la modification, par exemple,
Ohio (us-east-2)
pour la Région USA Est (Ohio). -
Développez Rate control (Contrôle de débit).
Pour Concurrency (Concomitance), saisissez un nombre, puis, dans la liste, sélectionnez si cela représente le nombre ou le pourcentage de comptes dans lesquels le flux de travail de runbook peut s'exécuter simultanément.
Pour Error threshold (Seuil d'erreur), saisissez un nombre, puis, dans la liste, sélectionnez si cela représente le nombre ou le pourcentage de comptes dans lesquels le flux de travail de runbook peut échouer avant l'arrêt de l'opération.
-
-
-
Dans la section Deployment targets (Cibles de déploiement), procédez comme suit :
-
Sélectionnez l'une des méthodes suivantes :
-
Ressource unique : la modification doit être apportée pour une seule ressource. Par exemple, un seul nœud ou une seule AMI (Amazon Machine Image), en fonction de l'opération définie dans les runbooks pour cette demande de modification.
-
Plusieurs ressources : pour Parameter (Paramètre), sélectionnez parmi les paramètres disponibles dans les runbooks pour cette demande de modification. Cette sélection reflète le type de ressource mise à jour.
Par exemple, si le runbook pour cette demande de modification est
AWS-RetartEC2Instance
, vous pouvez choisirInstanceId
, puis définir les instances qui sont mises à jour en sélectionnant l'une des options suivantes :-
Spécifier des balises : saisissez une paire clé-valeur avec laquelle toutes les ressources à mettre à jour sont balisées.
-
Choisir un groupe de ressources : sélectionnez le nom du groupe de ressources auquel appartiennent toutes les ressources à mettre à jour.
-
Spécifier les valeurs des paramètres : identifiez les ressources à mettre à jour dans la section Runbook parameters (Paramètres du Runbook).
-
Target all instances (Cibler toutes les instances) : apportez la modification sur tous les nœuds gérés des emplacements cibles.
-
-
-
Si vous avez choisi Plusieurs ressources, développez Contrôle de débit.
Pour Concurrency (Concomitance), saisissez un nombre, puis, dans la liste, sélectionnez si cela représente le nombre ou le pourcentage de comptes que le flux de travail de runbook peut mettre à jour simultanément.
Pour Error threshold (Seuil d'erreur), saisissez un nombre, puis, dans la liste, sélectionnez si cela représente le nombre ou le pourcentage de cibles dans lesquelles la mise à jour peut échouer avant l'arrêt de l'opération.
-
-
Si vous avez choisi Spécifier les valeurs des paramètres pour mettre à jour plusieurs ressources à l'étape précédente : dans la section Paramètres du Runbook, spécifiez des valeurs pour les paramètres d'entrée requis. Les valeurs de paramètre que vous devez fournir sont basées sur le contenu des runbooks Automation associés au modèle de modification que vous avez choisi.
Par exemple, si le modèle de modification utilise le runbook
AWS-RetartEC2Instance
, vous devez saisir un ou plusieurs ID d'instance pour le paramètre InstanceId. Sinon, sélectionnez Show interactive instance picker (Afficher le sélecteur d'instance interactif) et sélectionnez les instances disponibles une par une. -
Sélectionnez Suivant.
-
Sur la page Review and submit (Vérifier et envoyer), re-vérifiez les ressources et les options que vous avez spécifiées pour cette demande de modification.
Sélectionnez le bouton Edit (Modifier) pour la ou les sections auxquelles vous voulez apporter des modifications.
Lorsque vous êtes satisfait des détails de la demande de modification, sélectionnez Submit for approval (Envoyer pour approbation).
Si une rubrique Amazon SNS a été spécifiée pour le modèle des modifications que vous avez choisi pour la demande, des notifications sont envoyées lorsque la demande est rejetée ou approuvée. Si vous ne recevez pas de notifications pour la demande, vous pouvez revenir à Change Manager pour vérifier le statut de votre demande.
Création de demandes de modifications (AWS CLI)
Vous pouvez créer une demande de modification via la AWS Command Line Interface (AWS CLI) en spécifiant les options et les paramètres de la demande de modification dans un fichier JSON et en utilisant l'option --cli-input-json
pour l'inclure dans votre commande.
Pour créer une demande de modification (AWS CLI)
Installez et configurez l'AWS CLI ou AWS Tools for PowerShell si vous ne l'avez pas déjà fait.
Pour plus d'informations, consultez la section Installation ou mise à jour de la version la plus récente de l'AWS CLI et Installation d'AWS Tools for PowerShell.
-
Créez un fichier JSON sur votre ordinateur local avec un nom tel que
MyChangeRequest.json
, puis collez le contenu suivant dans le fichier.Remplacez les
espaces réservés
par des valeurs pour votre demande de modification.Note
Cet exemple JSON crée une demande de modification en utilisant le modèle de modification
AWS-HelloWorldChangeTemplate
et le runbookAWS-HelloWorld
. Pour vous aider à adapter cet exemple à vos propres demandes de modifications, consultez StartChangeRequestExecution dans la Référence d'API AWS Systems Manager pour obtenir des informations sur les paramètres disponiblesPour obtenir des informations sur les approbations de demande de modifications, consultez À propos des approbations de demandes de modification.
{ "ChangeRequestName": "MyChangeRequest", "DocumentName": "AWS-HelloWorldChangeTemplate", "DocumentVersion": "$DEFAULT", "ScheduledTime": "2021-12-30T03:00:00", "ScheduledEndTime": "2021-12-30T03:05:00", "Tags": [ { "Key": "Purpose", "Value": "Testing" } ], "Parameters": { "Approver": [ "JohnDoe" ], "ApproverType": [ "IamUser" ], "ApproverSnsTopicArn": [ "arn:aws:sns:us-east-2:123456789012:MyNotificationTopic" ] }, "Runbooks": [ { "DocumentName": "AWS-HelloWorld", "DocumentVersion": "1", "MaxConcurrency": "1", "MaxErrors": "1", "Parameters": { "AutomationAssumeRole": [ "arn:aws:iam::123456789012:role/MyChangeManagerAssumeRole" ] } } ], "ChangeDetails": "### Document Name: HelloWorldChangeTemplate\n\n## What does this document do?\nThis change template demonstrates the feature set available for creating change templates for Change Manager. This template starts a Runbook workflow for the Automation document called AWS-HelloWorld.\n\n## Input Parameters\n* ApproverSnsTopicArn: (Required) Amazon Simple Notification Service ARN for approvers.\n* Approver: (Required) The name of the approver to send this request to.\n* ApproverType: (Required) The type of reviewer.\n * Allowed Values: IamUser, IamGroup, IamRole, SSOGroup, SSOUser\n\n## Output Parameters\nThis document has no outputs \n" }
-
Dans le répertoire où vous avez créé le fichier JSON, exécutez la commande suivante.
aws ssm start-change-request-execution --cli-input-json file://
MyChangeRequest
.jsonLe système retourne des informations telles que les suivantes.
{ "AutomationExecutionId": "b3c1357a-5756-4839-8617-2d2a4EXAMPLE" }