关于更改模板中的批准 - AWS Systems Manager

关于更改模板中的批准

对于您创建的每个更改模板,您最多可以为通过该更改模板创建的更改请求指定五个批准级别。对于其中每个级别,您最多可以指定五个潜在审批者。审批者并不限于单个用户。您还可以将 IAM 组或 IAM 角色指定为单独的审批者。对于 IAM 组和 IAM 角色,属于该组或角色的一个或多个用户可以提供批准,以获得更改请求所需的批准总数。您还可以指定数量超过您的更改模板所需数量的审批者。

Change Manager 支持两种主要的批准方法:逐级批准逐行批准。在某些情况下,也可以将这两种类型组合在一起。我们建议在您的 Change Manager 操作中仅使用逐级批准。

Per-level approvals

推荐。自 2023 年 1 月 23 日起,Change Manager 支持逐级批准。在此模型中,对于更改模板中的每个批准级别,您首先需要指定该级别需要多少次批准。然后,您需要为该级别至少指定对应数量的审批者,并且可以指定更多审批者。但只有您指定数量的逐级审批者才需要批准更改请求。例如,您可以指定五个审批者,但需要三次批准。

有关此批准类型的控制台视图和 JSON 示例,请参阅 逐级批准配置示例

Per-line approvals

支持向后兼容性。原始版本的 Change Manager 仅支持逐行批准。在此模型中,为批准级别指定的每个审批者都以一个批准行来表示。每个审批者都必须批准一次更改请求,该更改请求才能在该级别获得批准。在 2023 年 1 月 23 日之前,这是唯一受支持的批准模型。在此日期之前创建的更改模板继续支持逐行批准,但我们建议改用逐级批准。

有关此批准类型的控制台视图和 JSON 示例,请参阅 逐行批准配置示例

Combined per-line and per-level approvals

不推荐。在控制台中,构建器选项卡不再支持添加逐行批准。但在某些情况下,您最终可能会在更改模板中同时包含逐行和逐级批准。如果您更新在 2023 年 1 月 23 日之前创建的更改模板,或者通过手动编辑更改模板的 YAML 内容来创建或更新更改模板,则可能会发生这种情况。

有关此批准类型的控制台视图和 JSON 示例,请参阅 逐级和逐行组合批准配置示例

重要

虽然可以创建将逐行和逐级批准组合在一起的更改模板,但不建议或不必使用此配置。无论哪种批准类型,需要较多批准者(逐行或逐级批准)优先。例如:

  • 如果更改模板指定了三次逐级批准,但指定了五次逐行批准,则需要五次批准。

  • 如果更改模板指定了四次逐级批准,但指定了两次逐行批准,则需要四次批准。

您可以通过手动编辑 YAML 或 JSON 内容,来创建同时包括逐行和逐级批准的级别。然后,构建器选项卡将显示用于为该级别和单个行指定所需批准数量的控件。但您使用控制台添加的新级别仍然仅支持逐级批准配置。

更改请求通知和拒绝

Amazon SNS 通知

在使用您的更改模板创建更改请求后,将向已为该级别的批准通知指定的 Amazon Simple Notification Service(Amazon SNS)主题的订阅用户发送通知。您可以在更改模板中指定通知主题,也可以允许创建更改请求的用户指定通知主题。

在某一级别获得最低所需批准数量后,将向订阅下一级别 Amazon SNS 主题的审批者发送通知,依此类推。

重要

确保您指定的 IAM 角色、组和用户共同提供足够的审批者,以满足您指定的所需批准数量。例如,如果您仅将一个包含三个用户的 IAM 组指定为审批者,则您无法指定在该级别必须获得五次批准,只能指定三次或以下。

更改请求拒绝

无论您指定了多少个批准级别和审批者,只需拒绝一次更改请求,就会阻止执行该请求的运行手册工作流。