Controllo dell'accesso ai flussi di lavoro del runbook di approvazione automatica - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo dell'accesso ai flussi di lavoro del runbook di approvazione automatica

In ogni modello di modifica creato per l'organizzazione o l'account, è possibile specificare se le richieste di modifica create da tale modello possono essere eseguite come richieste di modifica approvate automaticamente, ovvero vengono eseguite automaticamente senza una fase di revisione (ad eccezione degli eventi di blocco delle modifiche).

Tuttavia, è possibile impedire che determinati utenti, gruppi o ruoli (IAM) AWS Identity and Access Management eseguano richieste di modifica approvate automaticamente anche se un modello di modifica lo consente. A tale scopo, è possibile utilizzare la chiave di condizione ssm:AutoApproveper l’operazione StartChangeRequestExecution in una policy IAM assegnata all'utente, al gruppo o al ruolo IAM.

È possibile aggiungere la policy seguente come policy inline, in cui la condizione è specificata come false, per impedire agli utenti di eseguire richieste di modifica approvabili automaticamente.

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Allow",
            "Action": "ssm:StartChangeRequestExecution",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "ssm:AutoApprove": "false"
                }
            }
        }
    ]
}

Per informazioni su come specificare policy inline, consultaPolicy inline e Aggiunta e rimozione di autorizzazioni Identità IAM nella Guida per l’utente IAM.

Per ulteriori informazioni su queste chiavi di condizione per le policy di Systems Manager, consulta la sezione Chiavi di condizione per Systems Manager.