控制对自动批准运行手册工作流的访问 - AWS Systems Manager

控制对自动批准运行手册工作流的访问

在为您的组织或账户创建的每个更改模板中,您可以指定从该模板创建的更改请求是否可以作为自动批准的更改请求运行,这意味着这些更改请求将在没有审核步骤的情况下自动运行(更改冻结事件除外)。

但是,您可能希望阻止某些用户、组或 AWS Identity and Access Management (IAM) 角色运行自动批准的更改请求,即使更改模板允许此操作也是如此。您可以将 ssm:AutoApprove 条件键用于分配给用户、组或 IAM 角色的 IAM policy 中的 StartChangeRequestExecution 操作,借此实现上述目标。

您可以将以下策略添加为内联策略,其中将该条件指定为 false,以阻止用户运行可自动批准的更改请求。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ssm:StartChangeRequestExecution", "Resource": "*", "Condition": { "BoolIfExists": { "ssm:AutoApprove": "false" } } } ] }

有关指定内联策略的信息,请参阅 IAM 用户指南中的内联策略添加和删除 IAM 身份权限

有关 Systems Manager 策略条件键的更多信息,请参阅 Systems Manager 的条件键