設定 Change Manager 選項和最佳實務 - AWS Systems Manager
任務 1:設定 Change Manager 使用者身分識別管理和範本檢閱者任務 2:設定 Change Manager 變更凍結事件核准者和最佳實務

設定 Change Manager 選項和最佳實務

必須執行本節中的任務,而無論您是跨組織使用 Change Manager (AWS Systems Manager 的功能),還是在單一 AWS 帳戶 中使用。

如果您使用的適用於組織的 Change Manager,您可以在委派管理員帳戶中或組織單位中允許搭配 Change Manager 使用的任何帳戶中執行下列任務。

主題

任務 1:設定 Change Manager 使用者身分識別管理和範本檢閱者

在您第一次存取 Change Manager 時在此程序中執行任務。您可以稍後返回 Change Manager 並選擇 Settings (設定) 標籤上的 Edit (編輯),進而更新這些組態設定。

若要設定 Change Manager 使用者身分識別管理和範本檢閱者

  1. 登入 AWS Management Console。

    如果您使用的是適用於組織的 Change Manager,請使用您的委派管理員帳戶的憑證登入。使用者必須擁有必要的 AWS Identity and Access Management (IAM) 許可,以便更新 Change Manager 設定。

  2. 開啟位於 https://console.aws.amazon.com/systems-manager/ 的 AWS Systems Manager 主控台。

  3. 在導覽窗格中,選擇 Change Manager

  4. 在服務首頁上,根據可用的選項執行下列其中一項操作:

    • 如果您搭配使用 Change Manager 和 AWS Organizations,選擇 Set up delegated account (設定委派帳戶)。

    • 如果您搭配使用 Change Manager 與單一 AWS 帳戶,選擇 Set up Change Manager (設定 Change Manager)。

      -或-

      選擇 Create sample change request (建立範例變更請求)、Skip (略過),然後選擇 Settings (設定) 標籤。

  5. 對於 User identity management (使用者身分識別管理),選擇下列其中一項。

    • AWS Identity and Access Management (IAM) – 識別提出和核准請求的使用者,並透過使用您現有的使用者、群組和角色在 Change Manager 中執行其他動作。

    • AWS IAM Identity Center (IAM Identity Center) – 允許 IAM Identity Center 建立和管理身分,或連線至您現有的身分來源,以識別在 Change Manager 中執行動作的使用者。

  6. Template reviewer notification (範本檢閱者通知) 區段中,指定 Amazon Simple Notification Service (Amazon SNS) 主題,以便通知範本檢閱者新的變更範本或變更範本版本已準備好接受檢閱。確保您選擇的 Amazon SNS 主題已設定為傳送通知給範本檢閱者。

    如需有關針對變更範本檢閱者通知而建立和設定 Amazon SNS 主題的資訊,請參閱 為 Change Manager 通知設定 Amazon SNS 主題

    1. 若要指定範本檢閱者通知的 Amazon SNS 主題,請選擇下列其中一項:

      • Enter an SNS Amazon Resource Name (ARN) (輸入 SNS Amazon 資源名稱 (ARN)) – 對於 Topic ARN (主題 ARN),輸入現有 Amazon SNS 主題的 ARN。此主題可以位於您組織的任何帳戶中。

      • 選取現有的 SNS 主題 – 對於 Target notification topic (目標通知主題) 中,選取您目前 AWS 帳戶 中的現有 Amazon SNS 主題的 ARN。(如果您尚未在您目前的 AWS 帳戶 和 AWS 區域 中建立任何 Amazon SNS 主題,則此選項不可用。)

      注意

      您選取的 Amazon SNS 主題必須設定為指定其傳送的通知以及要傳送的訂閱者。其存取政策也必須將許可授予 Systems Manager,以便 Change Manager 可以傳送通知。如需相關資訊,請參閱 為 Change Manager 通知設定 Amazon SNS 主題

    2. 選擇 Add notification (新增通知)。

  7. Change template reviewers (變更範本檢閱者) 區段中,選取組織或帳戶中的使用者,以檢閱新的變更範本或變更範本版本,然後再將其用於您的營運中。

    變更範本檢閱者負責驗證其他使用者已提交供 Change Manager Runbook 工作流程使用之範本的適用性和安全性。

    透過執行下列動作來選取變更範本檢閱者:

    1. 選擇新增

    2. 選取您要指派為變更範本檢閱者之各個使用者、群組或 IAM 角色名稱旁的核取方塊。

    3. 選擇 Add approvers (新增核准者)。

  8. 選擇提交

完成此初始安裝程序之後,請遵循 任務 2:設定 Change Manager 變更凍結事件核准者和最佳實務 中的步驟設定其他 Change Manager 設定和最佳實務。

任務 2:設定 Change Manager 變更凍結事件核准者和最佳實務

在您完成 任務 1:設定 Change Manager 使用者身分識別管理和範本檢閱者 中的步驟後,您可以指定變更凍結事件期間的變更請求的額外檢閱者,並指定您希望允許用於 Change Manager 營運的最佳實務。

變更凍結事件表示目前變更行事曆存在限制 (AWS Systems Manager Change Calendar 中的行事曆狀態為 CLOSED)。在這些情況下,除了變更請求的一般核准者之外,或者如果使用允許自動核准的範本建立變更請求,則變更凍結核准者必須授予執行此變更請求的許可。如果沒有,則無法處理變更,直至行事曆狀態再次變為 OPEN

若要設定 Change Manager 變更凍結事件核准者和最佳實務

  1. 在導覽窗格中,選擇 Change Manager

  2. 選擇 Settings (設定) 標籤,然後選擇 Edit (編輯)。

  3. Approvers for change freeze events (變更凍結事件的核准者) 區段中,選取組織或帳戶中可核准變更的使用者,即使在 Change Calendar 中使用的行事曆目前已關閉。

    注意

    若要允許變更凍結檢閱,您必須開啟 Best practices (最佳實務) 中的 Check Change Calendar for restricted change events (檢查變更行事曆是否有限制變更事件) 選項。

    執行下列動作,以選取變更凍結事件的核准者:

    1. 選擇新增

    2. 選取您要指派為變更凍結事件的核准者之各個使用者、群組或 IAM 角色名稱旁的核取方塊。

    3. 選擇 Add approvers (新增核准者)。

  4. 在頁面底部附近的 Best practices (最佳實務) 區段中,開啟您要針對下列每個選項強制執行的最佳實務。

    • 選項:Check Change Calendar for restricted change events (檢查變更行事曆是否有限制變更事件)

      若要指定 Change Manager 檢查 Change Calendar 中的行事曆,以確保變更不會被排程事件封鎖,請先選取 Enabled (已啟用) 核取方塊,然後從 Change Calendar (變更行事曆) 清單中選取行事曆以檢查是否有限制事件。

      如需有關 Change Calendar 的詳細資訊,請參閱「AWS Systems Manager Change Calendar」。

    • 選項:SNS topic for approvers for closed events (已關閉事件的核准者的 SNS 主題)

      1. 選擇下列其中一項,指定帳戶中的 Amazon Simple Notification Service (Amazon SNS) 主題,以便在變更凍結事件期間傳送通知給核准者。(請注意,您也必須在上述 Best practices (最佳實務) 的 Approvers for change freeze events (變更凍結事件的核准者) 中指定核准者。)

        • Enter an SNS Amazon Resource Name (ARN) (輸入 SNS Amazon 資源名稱 (ARN)) – 對於 Topic ARN (主題 ARN),輸入現有 Amazon SNS 主題的 ARN。此主題可以位於您組織的任何帳戶中。

        • 選取現有的 SNS 主題 – 對於 Target notification topic (目標通知主題) 中,選取您目前 AWS 帳戶 中的現有 Amazon SNS 主題的 ARN。(如果您尚未在您目前的 AWS 帳戶 和 AWS 區域 中建立任何 Amazon SNS 主題,則此選項不可用。)

        注意

        您選取的 Amazon SNS 主題必須設定為指定其傳送的通知以及要傳送的訂閱者。其存取政策也必須將許可授予 Systems Manager,以便 Change Manager 可以傳送通知。如需相關資訊,請參閱 為 Change Manager 通知設定 Amazon SNS 主題

      2. 選擇 Add notification (新增通知)。

    • 選項:Require monitors for all templates (需要監控所有範本)

      如果您想要確保組織或帳戶的所有範本都指定了 Amazon CloudWatch 警示來監控變更操作,則請選取 Enabled (已啟用) 核取方塊。

    • 選項:Require template review and approval before use (使用前需要範本檢閱和核准)

      若要確保不會建立任何變更要求,且不會執行 Runbook 工作流程,而不會以已檢閱和已核准的範本為基礎,請選取 Enabled (已啟用) 核取方塊。

  5. 選擇 Save (儲存)。