ビルダーを使用した変更テンプレートの作成 - AWS Systems Manager

ビルダーを使用した変更テンプレートの作成

AWS Systems Manager の一機能である Change Manager の変更テンプレートにビルダーを使用して、JSON または YAML 構文を使用しなくても、変更テンプレートで定義されたランブックワークフローを設定できます。オプションを指定すると、入力が、Systems Manager がランブックワークフローを実行するために使用できる YAML 形式に変換されます。

ビルダーを使用して変更テンプレートを作成するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Change Manager] を選択します。

  3. [Create template] (テンプレートの作成) をクリックします。

  4. [Name] (名前) には、UpdateEC2LinuxAMI など、その目的を識別しやすくするテンプレート名を入力します。

  5. [Change template details] (変更テンプレートの詳細) セクションで、以下を実行します。

    • [Description] (説明) には、作成している変更テンプレートが、いつ、どのように使用されるのかに関する簡単な説明を入力します。

      この説明は、変更リクエストを作成するユーザーが、正しい変更テンプレートを使用しているかどうかを判断するのに役立ちます。変更リクエストのレビューワーが、リクエストを承認すべきかどうかを理解するためにも役立ちます。

    • [Change template type] (変更テンプレートタイプ) で、標準変更テンプレートと緊急変更テンプレートのどちらを作成するかを指定します。

      緊急変更テンプレートは、AWS Systems Manager Change Calendar で使用されているカレンダー内のイベントによって変更がブロックされている場合でも、変更を行う必要がある場合に使用されます。緊急変更テンプレートから作成された変更リクエストは、指定された承認者によって承認される必要がありますが、要求された変更は、カレンダーがブロックされている場合でも実行できます。

    • [Runbook options] (ランブックオプション) では、変更リクエストの作成時にユーザーが選択できるランブックを指定します。ランブックは、1 つ、または複数追加することができます。その代わりに、リクエスタが使用するランブックを指定できるようにすることも可能です。いずれの場合も、変更リクエストに含めることができるランブックは 1 つだけです。

    • [Runbook] (ランブック) には、ユーザーがその変更リクエスト用に選択できるランブックの名前と、それらのバージョンを選択します。変更テンプレートに追加するランブックの数に関係なく、変更リクエストごとに選択できるランブックは 1 つだけです。

      上記の [Any runbook can be used] (任意のランブックを使用できる) を先に選択した場合は、ランブックを指定しません。

      ヒント

      ランブックとそのバージョンを選択したら、[View] (表示) をクリックし、Systems Manager ドキュメントインターフェイスでランブックの内容を調べます。

  6. [Template information] (テンプレート情報) セクションで、Markdown を使用して、この変更テンプレートから変更リクエストを作成するユーザーの情報を入力します。当社では、変更リクエストを作成するユーザーに対して含めることができる質問セットを用意していますが、代わりに他の情報や質問を追加することもできます。

    注記

    Markdown は、ドキュメント、およびドキュメント内の個々のステップに wiki 形式の説明を追加できるようにするマークアップ言語です。Markdown の使用に関する詳細については、「AWS での Markdown の使用」を参照してください。

    これには、変更、およびロールバック計画の一環として実行する必要がある手動ステップをリストアップするなど、承認者が各変更リクエストを許可するかどうかを判断できるように、ユーザーがその変更リクエストについて回答する質問を提供することをお勧めします。

    ヒント

    [Hide preview] (プレビューを非表示)と [Show preview] (プレビューを表示) を切り替えて、作成しながら内容を確認します。

  7. [Change request approvals] (変更リクエスト承認) セクションで、以下を実行します。

    • (オプション) この変更テンプレートから作成された変更リクエストを、承認者が確認せずに自動的に実行できるようにする場合は (変更凍結イベントを除く)、[Enable auto-approval (自動承認の有効化)] を選択します。

      注記

      変更テンプレートで自動承認を有効にすると、レビュー担当者をバイパスするオプションをユーザーに提供できます。レビュー担当者は、変更リクエストの作成時に指定できます。このため、変更テンプレートでレビュー担当者のオプションを指定する必要があります。

      重要

      変更テンプレートの自動承認を有効にすると、ユーザーは変更リクエストを実行する前にレビュー担当者によるレビューが不要なテンプレートを使用して変更リクエストを送信できます (変更凍結イベントの承認者を除く)。特定のユーザー、グループ、または IAM ロールによる自動承認リクエストの送信を制限する場合は、この目的で IAM ポリシーの条件を使用できます。詳細については、「自動承認のランブックワークフローへのアクセスを制御する」を参照してください。

    • [このレベルで必要な承認数] で、この変更テンプレートから作成された変更リクエストがこのレベルで受け取る必要がある承認数を選択します。

    • 必須の第 1 レベルの承認者を追加するには、[Add approver (承認者を追加)] を選択した後、以下のいずれかを選択します。

      • Template specified approvers (テンプレートで指定された承認者) – この変更テンプレートから作成された変更リクエストを承認するために、アカウントからユーザー、グループ、または AWS Identity and Access Management (IAM) ロールを 1 つ以上選択します。このテンプレートを使用して作成された変更リクエストはいずれも、指定された各承認者によって確認および承認される必要があります。

      • Request specified approvers (リクエストで指定された承認者) – 変更リクエストを作成するユーザーがリクエストの作成時にレビューワーを指定します。レビューワーは、アカウント内のユーザーのリストから選択できます。

        [Required] (必須) 列に入力する数字は、この変更テンプレートを使用する変更リクエストによって指定される必要があるレビューワーの人数を決定します。

      重要

      2023 年 1 月 23 日より前は、[ビルダー] タブでは、行ごとの承認のみの指定がサポートされていました。[ビルダー] タブを使用して既存の変更テンプレートに追加する新しい変更テンプレートと新しいレベルは、レベルごとの承認のみをサポートしています。Change Manager オペレーションでは、レベルごとの承認のみを使用することをお勧めします。

      詳細については、「変更テンプレートの承認について」を参照してください。

    • [SNS topic to notify approvers] (承認者に通知する SNS トピック) には、以下を実行します。

      1. 次のいずれかを選択して、アカウント内の Amazon Simple Notification Service (Amazon SNS) トピックを指定します。これは、変更リクエストがレビューできることを承認者に通知を送信するときに使用されます。

        • Enter an SNS Amazon Resource Name (ARN)(SNS Amazon リソースネーム (ARN) を入力) – [Topic ARN (トピック ARN) には、既存の Amazon SNS トピックの ARN を入力します。このトピックは、組織のどのアカウントのものでも使用できます。

        • Select an existing SNS topic (既存の SNS トピックを選択) – [Target notification topic] (ターゲット通知トピック) には、現在 AWS アカウント にある既存の Amazon SNS トピックの ARN を選択します。(このオプションは、現在の AWS アカウント と AWS リージョン で Amazon SNS トピックをまだ作成していない場合は使用できません)。

        • Specify SNS topic when the change request is created(変更リクエストの作成時に SNS トピックを指定) – 変更リクエストを作成するユーザーが、通知に使用する Amazon SNS トピックを指定できます。

        注記

        選択する Amazon SNS トピックは、送信する通知とその送信先のサブスクライバーを指定するように設定されている必要があります。Amazon SNアクセスポリシーは、Change Manager が通知を送信できるように、Systems Manager にアクセス許可も付与する必要があります。詳細については、Change Manager 通知用の Amazon SNS トピックの設定 を参照してください。

      2. [Add notification] (通知を追加) をクリックします。

  8. (オプション) 承認者のレベルを追加するには、[Add approval level] (承認レベルを追加) をクリックし、このレベルのテンプレートで指定された承認者とリクエストで指定された承認者の中から選択します。次に、このレベルの承認者に通知する SNS トピックを選択します。

    第 1 レベルの承認者がすべての承認を受信すると、第 2 レベルの承認者に通知され、という流れをたどります。

    各テンプレートには、最大 5 レベルの承認者を追加できます。例えば、第 1 レベルでは技術ロールのユーザーの承認を求め、次に 2 番目のレベルでは管理職の承認を求めることができます。

  9. [Monitoring] (モニタリング) セクションの [CloudWatch alarm to monitor] (監視する CloudWatch アラーム) に、このテンプレートに基づくランブックワークフローの進行状況を監視するための、現在のアカウントにある Amazon CloudWatch アラームの名前を入力します。

    ヒント

    新しいアラームを作成する、または指定するアラームの設定を確認するには、[Open the Amazon CloudWatch console] (Amazon CloudWatch コンソールを開く) をクリックします。CloudWatch アラームの使用の詳細については、Amazon CloudWatch ユーザーガイドの「CloudWatch アラームの使用」を参照してください。

  10. [Notifications] (通知) セクションで、以下を実行します。

    1. 次のいずれかを選択して、アカウント内の Amazon SNS トピックを指定します。これは、この変更テンプレートを使用して作成された変更リクエストに関する通知を送信するために使用されます。

      • Enter an SNS Amazon Resource Name (ARN)(SNS Amazon リソースネーム (ARN) を入力) – [Topic ARN (トピック ARN) には、既存の Amazon SNS トピックの ARN を入力します。このトピックは、組織のどのアカウントのものでも使用できます。

      • Select an existing SNS topic (既存の SNS トピックを選択) – [Target notification topic] (ターゲット通知トピック) には、現在 AWS アカウント にある既存の Amazon SNS トピックの ARN を選択します。(このオプションは、現在の AWS アカウント と AWS リージョン で Amazon SNS トピックをまだ作成していない場合は使用できません)。

      注記

      選択する Amazon SNS トピックは、送信する通知とその送信先のサブスクライバーを指定するように設定されている必要があります。Amazon SNアクセスポリシーは、Change Manager が通知を送信できるように、Systems Manager にアクセス許可も付与する必要があります。詳細については、Change Manager 通知用の Amazon SNS トピックの設定 を参照してください。

    2. [Add notification] (通知を追加) をクリックします。

  11. (オプション) [Tags] (タグ) セクションで、変更テンプレートにタグキーの名前/値ペアを 1 つ、または複数適用します。

    タグは、リソースに割り当てるオプションのメタデータです。タグを使用することで、目的、所有者、または環境などの異なる方法でリソースを分類できます。例えば、変更テンプレートが実行する変更のタイプと、実行される環境を特定するために、タグを付けることができます。この場合、以下のキーの名前と値のペアを指定します。

    • Key=TaskType,Value=InstanceRepair

    • Key=Environment,Value=Production

  12. [Save and preview] (保存してプレビュー) をクリックします。

  13. 作成する変更テンプレートの詳細を確認します。

    レビューのために送信する前に変更テンプレートを変更したい場合は、[Actions、Edit] (アクション、編集) と選択します。

    変更テンプレートの内容に問題がなければ、[Submit for Review] (レビューのために送信) をクリックします。Change Manager の [Settings] (設定) タブでテンプレートレビューワーとして指定された組織またはアカウント内のユーザーに、新しい変更テンプレートのレビューが保留中であることが通知されます。

    Amazon SNS トピックが変更テンプレートで指定されている場合、変更テンプレートが拒否または承認されたときに通知が送信されます。この変更テンプレートに関連する通知が届かない場合は、後ほど Change Manager に戻って、そのステータスを確認できます。