控制對自動核准 Runbook 工作流程的存取
在為組織或帳戶建立的每個變更範本中,您可以指定從該範本建立的變更請求是否可以作為自動核准的變更請求來執行,這表示它們會在沒有檢閱步驟的情況下自動執行 (變更凍結事件除外)。
不過,您可能想要防止特定使用者、群組或 AWS Identity and Access Management (IAM) 角色無法執行自動核准的變更請求,即使變更範本允許亦是如此。您可以透過在指派給使用者、群組或 IAM 角色的 IAM 政策中使用 StartChangeRequestExecution
操作的 ssm:AutoApprove
條件金鑰,來執行此操作。
您可以將下列政策新增為內嵌政策,其中條件指定為false
,可防止使用者執行可自動核准的變更請求。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ssm:StartChangeRequestExecution", "Resource": "*", "Condition": { "BoolIfExists": { "ssm:AutoApprove": "false" } } } ] }
如需有關指定內嵌政策的資訊,請參閱《IAM 使用者指南》中的內嵌政策和新增和移除 IAM 身分許可。
如需有關 Systems Manager 政策條件金鑰的詳細資訊,請參閱 Systems Manager 條件金鑰。