AWS Systems Manager Change Manager
O Change Manager, um recurso do AWS Systems Manager, é um framework de gerenciamento de alterações corporativas para solicitar, aprovar, implementar e emitir relatórios sobre alterações operacionais em sua configuração e infraestrutura de aplicações. Em uma única Conta de administrador delegado, se você usar o AWS Organizations, poderá gerenciar alterações em várias Contas da AWS e Regiões da AWS. Como alternativa, usando um conta local, você pode gerenciar alterações para uma única Conta da AWS. Use o Change Manager para gerenciar alterações em recursos da AWS e recursos on-premises. Para começar a usar o Change Manager, abra o Systems Manager console
Com o Change Manager, você pode usar modelos de alterações pré-aprovado para ajudar a automatizar os processos de alteração para seus recursos e ajudar a evitar resultados não intencionais ao fazer alterações operacionais. Cada modelo de alteração especifica o seguinte:
-
Um ou mais runbooks do Automation para um usuário escolher ao criar uma solicitação de alteração. As alterações feitas nos recursos são definidas nos runbooks do Automation. Você pode incluir runbooks personalizados ou runbooks gerenciados da AWS nos modelos de alteração criados. Quando um usuário cria uma solicitação de alteração, ele pode escolher qual dos runbooks disponíveis incluir na solicitação. Além disso, você pode criar modelos de alteração que permitem que o usuário que faz a solicitação especifique qualquer runbook na solicitação de alteração.
-
Os usuários da conta que devem revisar solicitações de alteração feitas usando esse modelo de alteração.
-
O tópico do Amazon Simple Notification Service (Amazon SNS) usado para notificar os aprovadores atribuídos de que uma solicitação de alteração está pronta para análise.
-
O alarme do Amazon CloudWatch usado para monitorar o fluxo de trabalho do runbook.
-
O tópico do Amazon SNS usado para enviar notificações sobre alterações de status para solicitações de alteração criadas usando o modelo de alteração.
-
As tags a serem aplicadas ao modelo de alteração para uso na categorização e filtragem dos modelos de alteração.
-
Se as solicitações de alteração criadas com o modelo de alteração podem ser executadas sem uma etapa de aprovação (solicitações aprovadas automaticamente).
Através da sua integração com o Change Calendar, que é outro recurso do Systems Manager, o Change Manager também ajudará você a implementar alterações com segurança, evitando conflitos de agendamento com eventos comerciais importantes. A integração do Change Manager com o AWS Organizations e AWS IAM Identity Center ajuda você a gerenciar alterações em toda a organização em uma única conta usando seu sistema de gerenciamento de identidades existente. Você pode monitorar o progresso das alterações no Change Manager e auditar alterações operacionais em toda a organização, proporcionando visibilidade e responsabilidade aprimoradas.
O Change Manager complementa os controles de segurança das práticas de integração contínua
Como o Change Manager funciona
Quando a necessidade de uma alteração operacional padrão ou de emergência for identificada, alguém na organização criará uma solicitação de alteração baseada em um dos modelos de alteração criados para uso em sua organização ou conta.
Se a alteração solicitada exigir aprovações manuais, o Change Manager notificará os aprovadores designados por meio de uma notificação do Amazon SNS de que uma solicitação de alteração está pronta para sua revisão. É possível designar aprovadores para solicitações de alteração no modelo de alteração ou permitir que os usuários designem aprovadores em sua própria solicitação de alteração. Você pode atribuir diferentes revisores a diferentes modelos. Por exemplo, atribua um usuário, grupo de usuários ou função do AWS Identity and Access Management (IAM) que devem aprovar as solicitações de alterações em nós gerenciados e outro usuário, grupo ou função do IAM para alterações no banco de dados. Se o modelo de alteração permitir aprovações automáticas e a política de usuário de um solicitante não as proibir, o usuário também poderá optar por executar o runbook do Automation para sua solicitação sem uma etapa de análise (com exceção dos eventos de congelamento de alterações).
Para cada modelo de alteração, você pode adicionar até cinco níveis de aprovadores. Por exemplo, você pode exigir que os revisores técnicos aprovem primeiro uma solicitação de alteração criada a partir de um modelo de alteração e, em seguida, solicitar um segundo nível de aprovações de um ou mais gerentes.
O Change Manager é integrado ao AWS Systems Manager Change Calendar. Quando uma alteração solicitada é aprovada, o sistema primeiro determina se a solicitação entra em conflito com outras atividades comerciais agendadas. Se um conflito for detectado, o Change Manager poderá bloquear a alteração ou exigir aprovações adicionais antes de iniciar o fluxo de trabalho do runbook. Por exemplo, você pode permitir alterações somente durante o horário comercial para garantir que as equipes estejam disponíveis para gerenciar problemas inesperados. Para quaisquer alterações solicitadas para serem executadas fora desse horário, você pode solicitar a aprovação da gerência de nível superior no formato de change freeze approvers (alterar aprovadores de congelamento). Para mudanças de emergência, o Change Manager pode ignorar a etapa de verificação Change Calendar para conflitos ou eventos de bloqueio após a aprovação de uma solicitação de alteração.
Quando for a hora de implementar uma alteração aprovada, o Change Manager executará o runbook do Automation especificado na solicitação de alteração associada. Somente as operações definidas em solicitações de alteração aprovadas serão permitidas quando os fluxos de trabalho de runbook forem executados. Essa abordagem ajuda você a evitar resultados não intencionais enquanto as mudanças estiverem sendo implementadas.
Além de restringir as alterações que podem ser feitas quando um fluxo de trabalho de runbook for executado, o Change Manager também ajuda a controlar a simultaneidade e os limites de erros. Você escolhe quantos recursos um fluxo de trabalho de runbook pode executar de uma só vez, quantas contas a alteração pode executar de uma só vez e quantas falhas serão permitidas antes do processo ser interrompido e (se o runbook incluir um script de reversão) revertido. Você também pode monitorar o andamento das alterações feitas usando os alarmes do CloudWatch.
Após a conclusão de um fluxo de trabalho do runbook, você pode revisar os detalhes sobre as alterações feitas. Esses detalhes incluem o motivo de uma solicitação de alteração, qual modelo de alteração foi usado, quem solicitou e aprovou as alterações e como as alterações foram implementadas.
- Mais informações
-
Apresentação do AWS Systems ManagerChange Manager
no Blog de notícias da AWS
Como o Change Manager beneficia minhas operações?
Os benefícios do Change Manager incluem o seguinte:
-
Reduza o risco de interrupção do serviço e tempo de inatividade
O Change Manager pode tornar as alterações operacionais mais seguras, garantindo que apenas as alterações aprovadas sejam implementadas quando um fluxo de trabalho de runbook for executado. Você pode bloquear alterações não planejadas e não revisadas. O Change Manager ajuda você a evitar os tipos de resultados não intencionais causados por erro humano que exigem horas dispendiosas de pesquisa e retrocesso.
-
Obtenha auditoria e relatórios detalhados sobre os históricos de alterações
O Change Manager fornece responsabilidade com uma maneira consistente de relatar e auditar alterações feitas em toda a organização, a intenção das alterações e detalhes sobre quem as aprovou e implementou.
-
Evite conflitos ou violações de agendamento
O Change Manager pode detectar conflitos de agendamento, como eventos de feriados ou lançamentos de novos produtos, com base no calendário de alterações ativo da sua organização. Você pode permitir que fluxos de trabalho do runbook sejam executados somente durante o horário comercial ou permiti-los somente com aprovações adicionais.
-
Adapte os requisitos de mudança aos seus negócios em mudança
Durante diferentes períodos comerciais, você poderá implementar diferentes requisitos de gerenciamento de alterações. Por exemplo, durante a geração de relatórios de fim de mês, época fiscal ou outros períodos comerciais críticos, você pode bloquear alterações ou exigir aprovação em nível de diretoria para alterações que possam introduzir riscos operacionais desnecessários.
-
Gerencie centralmente as alterações nas contas
Através da sua integração com o Organizations, o Change Manager permite que você gerencie alterações em todas as unidades organizacionais (UOs) em uma única conta de administrador delegado. É possível ativar o Change Manager para uso com toda a sua organização ou com apenas algumas das suas UOs.
Quem deve usar o Change Manager?
O Change Manager é apropriado para o seguinte clientes e organizações da AWS:
-
Qualquer cliente da AWS que quiser melhorar a segurança e a governança das alterações operacionais feitas em seus ambientes na nuvem ou on-premises.
-
As organizações que desejam aumentar a colaboração e a visibilidade entre as equipes, melhorar a disponibilidade das aplicações evitando o tempo de inatividade e reduzir o risco associado a tarefas manuais e repetitivas.
-
Organizações que devem estar em conformidade com as práticas recomendadas para o gerenciamento de alterações.
-
Clientes que precisam de um histórico totalmente auditável das alterações feitas em sua configuração e infraestrutura de aplicações.
Quais são os principais recursos do Change Manager?
Os principais recursos do Change Manager incluem o seguinte:
-
Suporte integrado para as práticas recomendadas de gerenciamento de alterações
Com o Change Manager, você pode aplicar práticas recomendadas de gerenciamento de alterações selecionadas às suas operações. Você pode ativar uma das seguintes opções:
-
Confira o Change Calendar para ver se os eventos estão restritos de forma que as alterações sejam feitas somente durante períodos de calendário abertos.
-
Permitir alterações durante eventos restritos com aprovações extras de aprovadores de congelamento de alterações.
-
Exija que os alarmes do CloudWatch sejam especificados para todos os modelos de alteração.
-
Exija que todos os modelos de alteração criados em sua conta sejam revisados e aprovados antes que possam ser usados para criar solicitações de alteração.
-
-
Caminhos diferentes de aprovação para períodos de calendário fechados e solicitações de alteração de emergência
Você pode permitir que uma opção escolha o Change Calendar para eventos restritos e bloqueie solicitações de alteração aprovadas, até que o evento seja concluído. No entanto, você também pode designar um segundo grupo de aprovadores, alterar aprovadores congelados, que podem permitir que a alteração seja feita mesmo que o calendário esteja fechado. Você também pode criar modelos de alteração de emergência. As solicitações de alteração criadas a partir de um modelo de alteração de emergência ainda exigem aprovações regulares, mas não estão sujeitas às restrições do calendário e não exigem aprovações de congelamento de alterações.
-
Controle como e quando os fluxos de trabalho do runbook são iniciados
Os fluxos de trabalho do runbook podem ser iniciados de acordo com uma programação ou assim que as aprovações forem concluídas (sujeito a regras de restrição de calendário).
-
Suporte de notificação integrado
Especifique quem na sua organização deve revisar e aprovar modelos e solicitações de alteração. Atribua um tópico do Amazon SNS a um modelo de alteração para enviar notificações aos assinantes do tópico sobre alterações de status para solicitações de alteração criadas com esse modelo de alteração.
-
Integração com AWS Systems Manager Change Calendar
O Change Manager permite que os administradores restrinjam alterações de agendamento durante períodos de tempo especificados. Por exemplo, você pode criar uma política que permita alterações somente durante o horário comercial para garantir que a equipe esteja disponível para lidar com quaisquer problemas. Você também pode restringir alterações durante eventos comerciais importantes. Por exemplo, as empresas de varejo podem restringir as alterações durante grandes eventos de vendas. Você também pode exigir aprovações adicionais durante períodos restritos.
-
Integração com o AWS IAM Identity Center e suporte ao Active Directory
Com a integração ao IAM Identity Center, os membros da sua organização podem acessar Contas da AWS e gerenciar seus recursos usando o Systems Manager, com base em uma identidade de um usuário comum. Usando o IAM Identity Center, você pode atribuir acesso de usuários a contas na AWS.
A integração com o Active Directory torna possível atribuir usuários em sua conta do Active Directory como aprovadores para modelos de alteração criados para as operações do Change Manager.
-
Integração com alarmes do Amazon CloudWatch
O Change Manager é integrado aos alarmes do CloudWatch. O Change Manager escuta os alarmes do CloudWatch durante o fluxo de trabalho do runbook e executa todas as ações, incluindo o envio de notificações definidas para o alarme.
-
Integração com o AWS CloudTrail Lake
Ao criar um armazenamento de dados de eventos no AWS CloudTrail Lake, é possível visualizar informações auditáveis sobre as alterações feitas pelas solicitações de alteração executadas em sua conta ou organização. As informações do evento armazenadas incluem detalhes como os seguintes:
-
As ações de API que foram executadas
-
Os parâmetros de solicitação incluídos para essas ações
-
O usuário que executou a ação
-
Os recursos que foram atualizados durante o processo
-
-
Integração com AWS Organizations
Usando os recursos de contas cruzadas fornecidos pelo Organizations, você pode usar uma conta de administrador delegado para gerenciar as operações do Change Manager em UOs da sua organização. Na conta de gerenciamento do Organizations, você pode especificar qual conta será a conta de administrador delegado. Você também pode controlar em quais das UOs o Change Manager pode ser usado.
Há cobrança pelo uso do Change Manager?
Sim. O preço do Change Manager é calculado com base no pagamento conforme o uso. Você paga somente pelo que usar. Para obter mais informações, consulte Preços do AWS Systems Manager
Quais são os componentes primários do Change Manager?
Os componentes do Change Manager que você usa para gerenciar o processo de alteração em sua organização ou conta incluem o seguinte:
Conta de administrador delegado
Se você usar o Change Manager em uma organização, você usará uma conta de administrador delegado. Esta é a Conta da AWS designada como a conta para gerenciar atividades de operações no Systems Manager, incluindo o Change Manager. A conta de administrador delegado gerencia as atividades de alteração em toda a organização. Quando você configura sua organização para usar o Change Manager, você especifica qual das suas contas desempenhará essa função. A conta de administrador delegado deve ser o único membro da unidade organizacional (UO) à qual está atribuída. A conta de administrador delegado não será necessária se você usar o Change Manager apenas com uma única Conta da AWS.
Importante
Se você usar o Change Manager em uma organização, recomendamos sempre fazer as alterações na conta de administrador delegado. Embora seja possível fazer alterações de outras contas na organização, essas alterações não serão relatadas ou visíveis na conta do administrador delegado.
Modelo de alteração
Um modelo de alteração é uma coleção de definições de configuração no Change Managerque definem itens como aprovações obrigatórias, runbooks disponíveis e opções de notificação para solicitações de alteração.
Você pode exigir que os modelos de alteração criados pelos usuários em sua organização ou conta passem por um processo de aprovação antes que possam ser usados.
O Change Manager oferece suporte a dois tipos de modelos de alteração. Para uma solicitação de alteração aprovada que se baseia em um modelo de alteração de emergência, a alteração solicitada pode ser feita mesmo que existam eventos de bloqueio no Change Calendar. Para uma solicitação de alteração aprovada que se baseia em um modelo de alteração padrão, a alteração solicitada não poderá ser feita se houver eventos de bloqueio no Change Calendar a menos que aprovações adicionais sejam recebidas dos aprovadores designados em change freeze event (alterar evento de congelamento).
Solicitação de alteração
Uma solicitação de alteração é uma solicitação no Change Manager para executar um runbook do Automation que atualiza um ou mais recursos na AWS ou em ambientes on-premises. Uma solicitação de alteração é criada usando um modelo de alteração.
Quando você cria uma solicitação de alteração, um ou mais aprovadores em sua organização ou conta devem revisar e aprovar a solicitação. Sem as aprovações necessárias, o fluxo de trabalho do runbook, que aplica as alterações solicitadas, não tem permissão para ser executado.
No sistema, as solicitações de alteração são um tipo de OpsItem no AWS Systems Manager OpsCenter. No entanto, OpsItems do tipo /aws/changerequest
não são exibidos no OpsCenter. Como OpsItems, as solicitações de alteração estão sujeitas às mesmas cotas impostas que os outros tipos de OpsItems.
Além disso, para criar uma solicitação de alteração programaticamente, não chame a operação da API CreateOpsItem
, Use a operação StartChangeRequestExecution
da API. Mas, em vez de ser executada imediatamente, a solicitação de alteração deve ser aprovada, e não deve haver nenhum evento de bloqueio no Change Calendar para impedir que o fluxo de trabalho seja executado. Quando as aprovações tiverem sido recebidas e o calendário não estiver bloqueado (ou tiver permissão para ignorar eventos de bloqueio do calendário), a ação StartChangeRequestExecution
poderá ser concluída.
Fluxo de trabalho do runbook
Um fluxo de trabalho de runbook é o processo de alterações solicitadas que estão sendo feitas nos recursos direcionados no ambiente de nuvem ou on-premises. Cada solicitação de alteração designa um único runbook do Automation a ser usado para fazer a alteração solicitada. O fluxo de trabalho do runbook ocorre depois que todas as aprovações necessárias foram concedidas e não houver eventos de bloqueio no Change Calendar. Se a alteração tiver sido agendada para uma data e hora específicas, o fluxo de trabalho do runbook não começará até o horário agendado, mesmo que todas as aprovações tenham sido recebidas e o calendário não esteja bloqueado.