Mengontrol akses ke alur kerja runbook persetujuan otomatis

Di setiap template perubahan yang dibuat untuk organisasi atau akun Anda, Anda dapat menentukan apakah permintaan perubahan yang dibuat dari template tersebut dapat berjalan sebagai permintaan perubahan yang disetujui secara otomatis, yang berarti bahwa mereka berjalan secara otomatis tanpa langkah peninjauan (dengan pengecualian peristiwa pembekuan perubahan).

Namun, Anda mungkin ingin mencegah pengguna, grup, atauAWS Identity and Access Management(IAM) peran dari menjalankan permintaan perubahan yang disetujui secara otomatis meskipun template perubahan mengizinkannya. Anda dapat melakukan ini melalui penggunaanssm:AutoApprovekunci kondisi untukStartChangeRequestExecutionoperasi dalam kebijakan IAM yang ditetapkan untuk pengguna, grup, atau peran IAM.

Anda dapat menambahkan kebijakan berikut sebagai kebijakan inline, di mana kondisi ditetapkan sebagaifalse, untuk mencegah pengguna menjalankan permintaan perubahan yang dapat disetujui secara otomatis.


{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Allow",
            "Action": "ssm:StartChangeRequestExecution",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "ssm:AutoApprove": "false"
                }
            }
        }
    ]
}

Untuk informasi tentang menentukan kebijakan sebaris, lihatKebijakan inlinedanMenambahkan dan menghapus izin identitas IAMdi dalamPanduan Pengguna IAM.

Untuk informasi lebih lanjut tentang kunci kondisi untuk Systems Manager kebijakan Systems, lihatKunci kondisi Systems Manager.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mengkonfigurasi peran dan izin untuk Change Manager

Bekerja dengan Change Manager