Controlar o acesso a fluxos de trabalho do runbook de aprovação automática

Em cada modelo de alteração criado para sua organização ou conta, você pode especificar se as solicitações de alteração criadas com esse modelo podem ser executadas como solicitações de alteração aprovadas automaticamente, o que significa que elas são executadas automaticamente sem uma etapa de revisão (com exceção dos eventos de congelamento de alterações).

No entanto, você pode querer impedir determinados usuários, grupos ou grupos funções do AWS Identity and Access Management (IAM) de executar solicitações de alteração aprovadas automaticamente, mesmo que um modelo de alteração permita. Você pode fazer isso usando a chave de condição ssm:AutoApprove para a operação StartChangeRequestExecutionem uma política do IAM atribuída ao usuário, grupo ou função do IAM.

Você pode adicionar a seguinte política como uma política em linha, onde a condição é especificada como false para impedir que os usuários executem solicitações de alteração aprovadas automaticamente.


{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Allow",
            "Action": "ssm:StartChangeRequestExecution",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "ssm:AutoApprove": "false"
                }
            }
        }
    ]
}

Para obter informações sobre como especificar políticas em linha, consulte Políticas em linha e Adicionar e remover permissões de identidade do IAM no Manual do usuário do IAM.

Para obter mais informações sobre chaves de condição das políticas do Systems Manager, consulteChaves de condição do Systems Manager.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configurar perfis e permissões para o Change Manager

Trabalhar com o Change Manager