Criar solicitações de alteração - AWS Systems Manager

Criar solicitações de alteração

Quando você cria uma solicitação de alteração no Change Manager, um recurso do AWS Systems Manager, o modelo de alteração selecionado normalmente faz o seguinte:

  • Designa aprovadores para a solicitação de alteração ou especifica quantas aprovações são necessárias

  • Especifica o tópico do Amazon Simple Notification Service (Amazon SNS) a ser usado para notificar os aprovadores sobre a solicitação de alteração

  • Especifica um alarme do Amazon CloudWatch para monitorar o fluxo de trabalho do runbook para a solicitação de alteração

  • Identifica quais runbooks do Automation você pode escolher para fazer a alteração solicitada

Em alguns casos, um modelo de alteração pode ser configurado para que você especifique seu próprio runbook do Automation a ser usado e para especificar quem deve revisar e aprovar a solicitação.

Importante

Se você usar o Change Manager em uma organização, recomendamos sempre fazer as alterações na conta de administrador delegado. Embora seja possível fazer alterações de outras contas na organização, essas alterações não serão relatadas ou visíveis na conta do administrador delegado.

Sobre as aprovações de solicitação de alteração

Dependendo dos requisitos especificados em um modelo de alteração, as solicitações de alteração criadas nele podem requerer aprovações de até cinco níveis antes que o fluxo de trabalho do runbook para a solicitação possa ocorrer. Para cada um desses níveis, o criador do modelo poderá especificar até cinco possíveis aprovadores. Um aprovador não está limitado a um único usuário. Nesse sentido, um aprovador também pode ser um grupo do IAM ou um perfil do IAM. Para grupos do IAM e perfis do IAM, um ou mais usuários pertencentes ao grupo ou perfil podem fornecer aprovações para receber o número total de aprovações requeridas para uma solicitação de alteração. Os criadores do modelo também poderão especificar mais aprovadores do que o requerido pelo modelo de alteração.

Fluxos de trabalho de aprovação originais e atualizados e/ou aprovações

Ao usar modelos de alteração criados antes de 23 de janeiro de 2023, uma aprovação deve ser recebida de cada aprovador especificado para que a solicitação de alteração seja aprovada nesse nível. Por exemplo, na configuração do nível de aprovação mostrada na imagem a seguir, quatro aprovadores estão especificados. Os aprovadores especificados incluem dois usuários (John Stiles e Ana Carolina Silva), um grupo de usuários que contém três membros (GroupOfThree) e um perfil de usuário que representa dez usuários (RoleOfTen).

Nível de aprovação apresentando quatro aprovadores requeridos por linha.

Para que a solicitação de alteração seja aprovada nesse nível, ela deve ser aprovada por John Stiles, Ana Carolina Silva, um membro do grupo GroupOfThree e um membro do perfil RoleOfTen.

Ao usar modelos de alteração criados em ou após 23 de janeiro de 2023, para cada nível de aprovação, os criadores de modelos poderão especificar um número total geral de aprovações requeridas. Essas aprovações poderão ser originadas de qualquer combinação de usuários, grupos e perfis especificados como aprovadores. Um modelo de alteração pode requerer somente uma aprovação para um nível, mas especificar, por exemplo, dois usuários individuais, dois grupos e um perfil como possíveis aprovadores.

Por exemplo, na área do nível de aprovação mostrada na imagem a seguir, são requeridas três aprovações. Os aprovadores especificados pelo modelo incluem dois usuários (John Stiles e Ana Carolina Silva), um grupo de usuários que contém três membros (GroupOfThree) e um perfil de usuário que representa dez usuários (RoleOfTen).

Nível de aprovação apresentando três aprovações requeridas e quatro aprovadores especificados.

Se todos os três usuários do grupo GroupOfThree aprovarem a sua solicitação de alteração, ela será aprovada para esse nível. Não é necessário receber uma aprovação de cada usuário, grupo ou perfil. O número mínimo de aprovações pode ser originado de qualquer combinação de possíveis aprovadores.

Quando a solicitação de alteração é criada, as notificações são enviadas aos assinantes do tópico do Amazon SNS que foi especificado para notificações de aprovação nesse nível. É possível que o criador do modelo de alteração tenha especificado o tópico de notificação que deve ser usado ou permitido que você o especificasse.

Após o número mínimo de aprovações requeridas ser recebido em um nível, as notificações serão enviadas aos aprovadores inscritos no tópico do Amazon SNS para o próximo nível, e assim sucessivamente.

Não importa quantos níveis de aprovação e aprovadores estejam especificados, somente uma rejeição a uma solicitação de alteração é requerida para evitar que o fluxo de trabalho do runbook para essa solicitação ocorra.

Criar solicitações de alteração (console)

O procedimento a seguir descreve como criar uma solicitação de alteração usando o console do Systems Manager.

Para criar uma solicitação de alteração (console)
  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, escolha Change Manager.

  3. Selecione Create request (Criar solicitação).

  4. Pesquise e selecione um modelo de alteração que você deseja usar para essa solicitação de alteração.

  5. Escolha Próximo.

  6. Para Name (Nome), insira um nome para a solicitação de alteração que facilite a identificação de sua finalidade, como UpdateEC2LinuxAMI-us-east-2.

  7. Para Runbook, selecione o runbook que quiser usar para fazer a alteração solicitada.

    nota

    Se a opção para selecionar um runbook não estiver disponível, o autor do modelo de alteração especificou qual runbook deve ser usado.

  8. Para Change request information (Alterar as informações da solicitação), use Markdown para fornecer informações adicionais sobre a solicitação de alteração para ajudar os revisores a decidir se devem aprovar ou rejeitar a solicitação de alteração. O autor do modelo que você está usando pode ter fornecido instruções ou perguntas para você responder.

    nota

    Markdown é uma linguagem de marcação, que permite adicionar descrições de documentos no estilo wiki e etapas individuais dentro do documento. Para obter mais informações sobre como usar Markdown, consulte Usar Markdown na AWS.

  9. Na seção Workflow start time (Horário de início do fluxo de trabalho), escolha uma das seguintes opções:

    • Execute a operação em um horário agendado: para Requested start time (Horário de início solicitado), insira a data e a hora proposta para executar o fluxo de trabalho do runbook para esta solicitação. Para Estimated end time (Hora estimada para o término), insira a data e a hora em que você espera que o fluxo de trabalho do runbook seja concluído. (Esse tempo é apenas uma estimativa que você fornece aos revisores).

      dica

      SelecioneView Change Calendar (Exibir o calendário de alterações) para verificar se há eventos de bloqueio para o tempo especificado.

    • Execute a operação o mais rápido possível após a aprovação: se a solicitação de alteração for aprovada, o fluxo de trabalho do runbook será executado assim que houver um período sem restrições no qual as alterações podem ser feitas.

  10. Na seção Change request approvals (Aprovações de solicitação de alteração), faça o seguinte:

    1. Se as opções de Approval type (Tipo de aprovação) forem apresentadas, escolha uma das seguintes opções:

      • Aprovação automática: o modelo de alteração selecionado é configurado para permitir que as solicitações de alteração sejam executadas automaticamente sem revisão por nenhum aprovador. Continue na etapa 11.

        nota

        As permissões especificadas nas políticas do IAM que regem seu uso do Systems Manager não devem restringir o envio de solicitações de alteração de aprovação automática para que elas sejam executadas automaticamente.

      • Especifique os aprovadores: você deve adicionar um ou mais usuários, grupos ou funções do IAM para revisar e aprovar essa solicitação de alteração.

        nota

        Você pode optar por especificar revisores mesmo que as permissões especificadas nas políticas do IAM que regem seu uso do Systems Manager permitam que você execute solicitações de alteração de aprovação automática.

    2. Escolha Add approver (Adicionar aprovador) e selecione um ou mais usuários, grupos ou funções do AWS Identity and Access Management (IAM) nas listas de revisores disponíveis.

      nota

      Um ou mais aprovadores já podem estar especificados. Isso significa que os aprovadores obrigatórios já estão especificados no modelo de alteração selecionado. Não é possível remover esses aprovadores da solicitação. Se o botão Adicionar aprovador não estiver disponível, o modelo escolhido não permitirá que revisores adicionais sejam adicionados às solicitações.

      Para obter mais informações sobre aprovações para solicitações de alteração, consulte Sobre as aprovações de solicitação de alteração.

    3. Em SNS topic to notify approvers (Tópico do SNS para notificar aprovadores), escolha uma das opções a seguir para especificar o tópico do Amazon SNS em sua conta a ser usado para enviar notificações aos aprovadores que você estiver adicionando a essa solicitação de alteração.

      nota

      Se a opção para especificar um tópico do Amazon SNS não estiver disponível, o modelo de alteração selecionado já especificará o tópico do Amazon SNS a ser usado.

      • Insira um nome do recurso da Amazon (ARN) – Para ARN do tópico, insira o ARN de um tópico existente do Amazon SNS. Esse tópico pode estar em qualquer uma das contas da sua organização.

      • Selecione um tópico do SNS existente: para Target notification topic (Tópico de notificação de destino), selecione o ARN de um tópico existente do Amazon SNS em sua conta atual. (Essa opção não estará disponível se você ainda não tiver criado nenhum tópico do Amazon SNS na sua Conta da AWS e Região da AWS.)

      nota

      O tópico do Amazon SNS selecionado deve ser configurado para especificar as notificações que ele envia e os assinantes para os quais eles são enviados. Sua política de acesso também deve conceder permissões ao Systems Manager, para que o Change Manager possa enviar notificações. Para obter mais informações, consulte Configurar os tópicos do Amazon SNS para as notificações do Change Manager.

    4. Escolha Adicionar notificação.

  11. Escolha Próximo.

  12. Para IAM role (Função do IAM), selecione uma função do IAM na sua conta atual que tenha as permissões necessárias para executar os runbooks especificados para esta solicitação de alteração.

    Essa função também é referida como a função de serviço, ou função assumida, para o Automation. Para obter mais informações sobre essa função, consulte Configurar a automação.

  13. Na seção Deployment location (Local de implantação), escolha uma das seguintes opções:

    nota

    Se você estiver usando o Change Manager com uma única Conta da AWS e não com uma organização configurada no AWS Organizations, você não precisará especificar um local de implantação.

    • Aplique alterações a esta conta. O fluxo de trabalho do runbook é executado somente na conta atual. Para uma organização, isso significa a conta de administrador delegado.

    • Aplique alterações a várias unidades organizacionais (UOs). Faça o seguinte:

      1. Para Accounts and organizational units (OUs) (Contas e unidades organizacionais, UOs), insira o ID de uma conta de membro em sua organização, no formato 123456789012 ou o ID de uma unidade organizacional, no formato o-o96EXAMPLE.

      2. (Opcional) Em Execution role name (Nome da função de execução), insira o nome da função do IAM na conta de destino ou a UO que tiver as permissões necessárias para executar os runbooks especificados para esta solicitação de alteração. Todas as contas em qualquer UO que você especificar devem usar o mesmo nome para essa função.

      3. (Opcional) Escolha Add another target location (Adicionar outro local de destino) para cada conta adicional ou UO que você deseja especificar e repita as etapas A e B.

      4. Em Target (Região da AWS de destino), selecione a região na qual fazer a alteração, como Ohio (us-east-2) para a região Leste dos EUA (Ohio).

      5. Expanda Rate control (Controle de taxa).

        Para Concurrency (Simultaneidade), insira um número e, na lista, selecione se isso representa o número ou porcentagem de contas em que o fluxo de trabalho do runbook pode ser executado ao mesmo tempo.

        Em Error threshold (Limite de erro), insira um número e, na lista, selecione se isso representa o número ou porcentagem de contas em que o fluxo de trabalho do runbook pode falhar antes que a operação seja interrompida.

  14. Na seção Deployment targets (Destinos das implantações), faça o seguinte:

    1. Escolha uma das seguintes opções:

      • Recurso único: a alteração deve ser feita para apenas um recurso. Por exemplo, um único nó ou uma única Amazon Machine Image (AMI), dependendo da operação definida nos runbooks para essa solicitação de alteração.

      • Vários recursos: para Parameter (Parâmetro), selecione um dos parâmetros disponíveis nos runbooks para essa solicitação de alteração. Essa seleção reflete o tipo de recurso que está sendo atualizado.

        Por exemplo, se o runbook para esta solicitação de alteração for AWS-RetartEC2Instance, você poderá escolher InstanceId e, em seguida, definir quais instâncias serão atualizadas selecionando uma das seguintes opções:

        • Especifique as tags: insira um par chave-valor com o qual todos os recursos a serem atualizados serão marcados.

        • Escolha um grupo de recursos: escolha o nome do grupo de recursos ao qual todos os recursos a serem atualizados pertencem.

        • Especifique valores do parâmetro: identifique os recursos a serem atualizados na seção Parâmetros do runbook.

        • Selecione todas as instâncias como destino: faça a alteração em todos os nós gerenciados nos locais de destino.

    2. Se você escolheu Multiple resources (Vários recursos), expanda Rate control (Controle de taxa).

      Para Concurrency (Simultaneidade), insira um número e, na lista, selecione se isso representa o número ou porcentagem de destinos nos quais o fluxo de trabalho do runbook pode ser atualizado ao mesmo tempo.

      Em Error threshold (Limite de erros), insira um número e, na lista, selecione se isso representa o número ou a porcentagem de destinos onde a atualização pode falhar antes que a operação seja interrompida.

  15. Se você escolheu Specify parameter values (Especificar valores de parâmetro) para atualizar vários recursos na etapa anterior: na seção Runbook parameters (Parâmetros do runbook), especifique valores para os parâmetros de entrada necessários. Os valores de parâmetro que você deve fornecer são baseados no conteúdo dos runbooks do Automation associados ao modelo de alteração escolhido.

    Por exemplo, se o modelo de alteração usar o runbook do AWS-RetartEC2Instance, você deverá inserir um ou mais IDs de instância para o parâmetro InstanceId. Como alternativa, selecione Show interactive instance picker (Mostrar o seletor de instâncias interativas) e selecione as instâncias disponíveis uma a uma.

  16. Escolha Próximo.

  17. Na página Review and submit (Analise e envie), verifique novamente os recursos e as opções que você especificou para esta solicitação de alteração.

    Selecione o botão Edit (Editar) para qualquer seção na qual você deseja fazer alterações.

    Quando estiver satisfeito com os detalhes da solicitação de alteração, escolhaSubmit for approval (Enviar para aprovação).

Se um tópico do Amazon SNS foi especificado no modelo de alteração escolhido para a solicitação, as notificações são enviadas quando a solicitação for rejeitada ou aprovada. Se você não receber notificações para a solicitação, retorne ao Change Manager para verificar o status da sua solicitação.

Criar solicitações de alteração (AWS CLI)

Você pode criar uma solicitação de alteração usando o AWS Command Line Interface (AWS CLI) especificando opções e parâmetros para a solicitação de alteração em um arquivo JSON e usando o comando --cli-input-json para incluí-la em seu comando.

Para criar uma solicitação de alteração (AWS CLI)
  1. Instale e configure a AWS CLI ou o AWS Tools for PowerShell, caso ainda não o tenha feito.

    Para obter informações, consulte Instalar ou atualizar a versão mais recente da AWS CLI e Instalar o AWS Tools for PowerShell.

  2. Crie um arquivo JSON em sua máquina local com um nome, como MyChangeRequest.json e cole o seguinte conteúdo nesse arquivo:

    Substitua os espaços reservados pelos valores da solicitação de alteração.

    nota

    Esse JSON de exemplo cria uma solicitação de alteração usando o modelo de alteração AWS-HelloWorldChangeTemplate e o runbook AWS-HelloWorld. Para ajudar você a adaptar esse exemplo para as suas próprias solicitações de alteração, consulte StartChangeRequestExecution na AWS Systems Manager API Reference para obter informações sobre todos os parâmetros disponíveis

    Para obter mais informações sobre aprovações para solicitações de alteração, consulte Sobre as aprovações de solicitação de alteração.

    { "ChangeRequestName": "MyChangeRequest", "DocumentName": "AWS-HelloWorldChangeTemplate", "DocumentVersion": "$DEFAULT", "ScheduledTime": "2021-12-30T03:00:00", "ScheduledEndTime": "2021-12-30T03:05:00", "Tags": [ { "Key": "Purpose", "Value": "Testing" } ], "Parameters": { "Approver": [ "JohnDoe" ], "ApproverType": [ "IamUser" ], "ApproverSnsTopicArn": [ "arn:aws:sns:us-east-2:123456789012:MyNotificationTopic" ] }, "Runbooks": [ { "DocumentName": "AWS-HelloWorld", "DocumentVersion": "1", "MaxConcurrency": "1", "MaxErrors": "1", "Parameters": { "AutomationAssumeRole": [ "arn:aws:iam::123456789012:role/MyChangeManagerAssumeRole" ] } } ], "ChangeDetails": "### Document Name: HelloWorldChangeTemplate\n\n## What does this document do?\nThis change template demonstrates the feature set available for creating change templates for Change Manager. This template starts a Runbook workflow for the Automation document called AWS-HelloWorld.\n\n## Input Parameters\n* ApproverSnsTopicArn: (Required) Amazon Simple Notification Service ARN for approvers.\n* Approver: (Required) The name of the approver to send this request to.\n* ApproverType: (Required) The type of reviewer.\n * Allowed Values: IamUser, IamGroup, IamRole, SSOGroup, SSOUser\n\n## Output Parameters\nThis document has no outputs \n" }
  3. No diretório em que você criou o arquivo JSON, execute o seguinte comando:

    aws ssm start-change-request-execution --cli-input-json file://MyChangeRequest.json

    O sistema retorna informações como estas.

    {
        "AutomationExecutionId": "b3c1357a-5756-4839-8617-2d2a4EXAMPLE"
    }