조직 또는 계정에 대해 생성된 각 변경 템플릿에 해당 템플릿에서 생성된 변경 요청을 자동 승인된 변경 요청으로 실행할 수 있는지 여부를 지정할 수 있습니다. 즉, 검토 단계 없이 자동으로 실행됩니다(변경 고정 이벤트 제외).
그러나 변경 템플릿에서 허용하는 경우에도 특정 사용자, 그룹 또는 AWS Identity and Access Management(IAM) 역할이 자동 승인된 변경 요청을 실행하지 못하도록 할 수 있습니다. 이렇게 하려면 사용자, 그룹 또는 IAM 역할에 할당된 IAM 정책에서 StartChangeRequestExecution 작업에 ssm:AutoApprove 조건 키를 사용합니다.
다음 정책을 인라인 정책으로 추가할 수 있습니다. 여기서 조건이 false로 지정되어 사용자가 자동 승인 가능한 변경 요청을 실행하지 못하도록 할 수 있습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:StartChangeRequestExecution",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"ssm:AutoApprove": "false"
}
}
}
]
}인라인 정책 지정에 대한 자세한 내용은 IAM User Guide의 Inline policies 및 Adding and removing IAM identity permissions를 참조하세요.
Systems Manager 정책의 조건 키에 대한 자세한 내용은 Systems Manager 조건 키를 참조하세요.
