AWS Systems Manager Change Manager
Change Manager, una capacidad de AWS Systems Manager, es un marco empresarial de administración de cambios con el que se pueden solicitar, aprobar, implementar e informar los cambios operativos de la configuración y la infraestructura de la aplicación. A partir de una única cuenta de administrador delegado, si utiliza AWS Organizations, puede administrar los cambios en varias Cuentas de AWS y Regiones de AWS. De forma alternativa, a través de una cuenta local, puede administrar los cambios de una sola Cuenta de AWS. Utilice Change Manager para administrar los cambios tanto en los recursos de AWS como en los recursos locales. Para comenzar a utilizar Change Manager, abra la consola de Systems Manager
Con Change Manager, puede usar plantillas de cambios preaprobadas para ayudar a automatizar los procesos de cambio de sus recursos y evitar los resultados no intencionales cuando se efectúan cambios operativos. Cada plantilla de cambios especifica lo siguiente:
-
Se definen uno o más manuales de procedimientos de Automation de los que el usuario puede elegir cuando vaya a crear una solicitud de cambio. Los cambios que se realizan en los recursos se definen en los manuales de procedimientos de Automation. Puede incluir manuales de procedimientos personalizados o manuales de procedimientos administrados de AWS en las plantillas de cambios que cree. Cuando un usuario crea una solicitud de cambio, puede elegir cuál de los manuales de procedimientos disponibles incluirá en la solicitud. Además, puede crear plantillas de cambios que permitan al usuario que realiza la solicitud especificar cualquier manual de procedimientos en la solicitud de cambio.
-
Se indican los usuarios de la cuenta que deben revisar las solicitudes de cambio que se realizan con esa plantilla de cambios.
-
Se establece el tema de Amazon Simple Notification Service (Amazon SNS) que se utilizará para notificar a los aprobadores designados que una solicitud de cambio está lista para su revisión.
-
Se indica la alarma de Amazon CloudWatch que se utilizará para monitorear el flujo de trabajo del manual de procedimientos.
-
Se define el tema de Amazon SNS que se utilizará para enviar notificaciones acerca de los cambios de estado de las solicitudes de cambio que se creen con la plantilla de cambios.
-
Se indican las etiquetas que se aplicarán a la plantilla de cambios para utilizarlas en la clasificación en categorías y el filtro de las plantillas de cambios.
-
Se establece si las solicitudes de cambio creadas a partir de la plantilla de cambios se pueden ejecutar sin un paso de aprobación (solicitudes de aprobación automática).
A través de su integración a Change Calendar, que es otra capacidad de Systems Manager, Change Manager también lo ayuda a implementar cambios de forma segura a la vez que evita conflictos de programación con los eventos empresariales importantes. La integración de Change Manager a AWS Organizations y AWS IAM Identity Center lo ayuda a administrar los cambios en toda su organización desde una única cuenta utilizando el sistema de administración de identidades existente. Puede monitorear el progreso de los cambios desde Change Manager y auditar los cambios operativos en toda su organización, lo que proporciona visibilidad y rendición de cuentas mejoradas.
Change Manager complementa los controles de seguridad de sus prácticas de integración continua
Cómo funciona Change Manager
Cuando se identifica la necesidad de un cambio operativo estándar o de emergencia, alguien de la organización crea una solicitud de cambio basada en una de las plantillas de cambios que se crearon para usarlas en su organización o cuenta.
Si el cambio solicitado requiere aprobaciones manuales, Change Manager notifica a los aprobadores designados mediante una notificación de Amazon SNS que indica que una solicitud de cambio está lista para su revisión. Puede designar aprobadores para las solicitudes de cambio en la plantilla de cambios o permitir que los usuarios designen a los aprobadores de la solicitud de cambio en la misma solicitud. Puede asignar diferentes revisores a diferentes plantillas. Por ejemplo, asigne un usuario, un grupo de usuarios o un rol de AWS Identity and Access Management (IAM) que deba aprobar las solicitudes de cambio en los nodos administrados y otro usuario, grupo o rol de IAM para los cambios en la base de datos. Si la plantilla de cambios permite las aprobaciones automáticas y la política de usuario de un solicitante no las prohíbe, el usuario también puede elegir ejecutar el manual de procedimientos de Automatización para su solicitud sin un paso de revisión (con la excepción de los eventos de congelación de cambios).
Puede agregar hasta cinco niveles de aprobadores a cada plantilla de cambios. Por ejemplo, puede requerir que los revisores técnicos aprueben primero una solicitud de cambio creada a partir de una plantilla de cambios y, a continuación, requiera un segundo nivel de aprobaciones por parte de uno o más administradores.
Change Manager está integrado en AWS Systems Manager Change Calendar. Cuando se aprueba un cambio solicitado, en primer lugar, el sistema determina si la solicitud entra en conflicto con otras actividades empresariales programadas. Si se detecta un conflicto, Change Manager puede bloquear el cambio o requerir aprobaciones adicionales antes de comenzar a ejecutar el flujo de trabajo del manual de procedimientos. Por ejemplo, puede permitir cambios solo durante el horario laborable para asegurarse de que los equipos estén disponibles para resolver cualquier problema inesperado. Para cualquier cambio que se solicite para ejecutarse fuera de ese horario, puede requerir una aprobación administrativa de nivel superior en forma de aprobadores de congelación de cambios. Para los cambios de emergencia, Change Manager puede omitir el paso de verificación de Change Calendar para detectar conflictos o eventos de bloqueo después de que se aprueba una solicitud de cambio.
Cuando llegue el momento de implementar un cambio aprobado, Change Manager ejecutará el manual de procedimientos de Automation que se especifica en la solicitud de cambio asociada. Solo se permiten las operaciones definidas en las solicitudes de cambio aprobadas cuando se ejecutan los flujos de trabajo del manual de procedimientos. Este enfoque ayuda a evitar resultados no intencionales mientras se implementan los cambios.
Además de restringir los cambios que se pueden realizar cuando se ejecuta un flujo de trabajo de manual de procedimientos, Change Manager también lo ayuda a controlar los límites de simultaneidad y errores. Puede elegir cuántos recursos puede ejecutar un flujo de trabajo de manual de procedimientos a la vez, en cuántas cuentas puede ejecutarse el cambio a la vez y cuántos errores permitir antes de que el proceso se detenga y (si el manual de procedimientos incluye un script de restauración) se restaure. También puede monitorear el progreso de los cambios que se están realizando mediante las alarmas de CloudWatch.
Una vez finalizado el flujo de trabajo del manual de procedimientos, puede revisar los detalles de los cambios efectuados. Estos detalles incluyen el motivo de una solicitud de cambio, qué plantilla de cambios se utilizó, quién solicitó los cambios, quién los aprobó y cómo se implementaron.
- Más información
-
Presentación de AWS Systems ManagerChange Manager
en el Blog de noticias de AWS
¿Cómo puede Change Manager beneficiar las operaciones de mi organización?
Entre los beneficios de Change Manager se incluyen los siguientes:
-
Reduzca el riesgo de interrupción del servicio y de tiempo de inactividad
Change Manager puede hacer que los cambios operativos sean más seguros garantizando que solo se implementen los cambios aprobados cuando se ejecuta un flujo de trabajo de manual de procedimientos. Puede bloquear los cambios no planificados y los no revisados. Change Manager lo ayuda a evitar los tipos de resultados no intencionales causados por errores humanos que requieren costosas horas de investigación y acciones para deshacer dichos resultados.
-
Obtenga auditorías e informes detallados sobre los historiales de cambios
Change Manager proporciona la posibilidad de realizar rendiciones de cuentas con una forma coherente de notificar y auditar los cambios realizados en toda la organización, la intención de los cambios y los detalles sobre quién los aprobó e implementó.
-
Evite conflictos o infracciones de programación
Change Manager puede detectar conflictos de programación, como los eventos festivos o los lanzamientos de nuevos productos, en función del calendario de cambios activo para su organización. Puede permitir que los flujos de trabajo del manual de procedimientos se ejecuten solo durante el horario laborable o permitirlos solo con aprobaciones adicionales.
-
Adapte los requisitos de cambios a su negocio cambiante
Durante los diferentes periodos empresariales, puede implementar distintos requisitos de administración de cambios. Por ejemplo, durante la preparación de informes de fin de mes, el periodo de presentaciones fiscales u otros periodos empresariales críticos, puede bloquear los cambios o requerir la aprobación del nivel de directores para los cambios que podrían generar riesgos operativos innecesarios.
-
Administre de forma centralizada los cambios en las cuentas
Gracias a su integración a Organizations, Change Manager le permite administrar los cambios en todas las unidades organizativas desde una única cuenta de administrador delegado. Puede activar Change Manager para usarlo en toda su organización o solo en algunas de sus unidades organizativas.
¿Quién debe utilizar Change Manager?
Change Manager es apropiado para los siguientes clientes y organizaciones de AWS:
-
cualquier cliente de AWS que desee mejorar la seguridad y la gobernanza de los cambios operativos realizados en sus entornos en la nube o en las instalaciones
-
las organizaciones que deseen aumentar la colaboración y la visibilidad entre los equipos, mejorar la disponibilidad de las aplicaciones evitando el tiempo de inactividad y reducir el riesgo asociado a las tareas manuales y repetitivas
-
las organizaciones que deban cumplir prácticas recomendadas para la administración de cambios
-
clientes que necesiten un historial totalmente auditable de los cambios realizados en la configuración y la infraestructura de sus aplicaciones
¿Cuáles son las características principales de Change Manager?
Las características principales de Change Manager incluyen las siguientes:
-
Soporte integrado para las prácticas recomendadas de administración de cambios
Con Change Manager, puede aplicar prácticas recomendadas de administración de cambios selectas a sus operaciones. Puede elegir activar las siguientes opciones:
-
verificar Change Calendar para ver si los eventos están restringidos actualmente, de manera que los cambios se realizan solo durante los periodos abiertos del calendario
-
permitir cambios durante eventos restringidos con aprobaciones adicionales de aprobadores de congelación de cambios
-
requerir que se especifiquen alarmas de CloudWatch para todas las plantillas de cambios
-
requerir que se revisen y aprueben todas las plantillas de cambios creadas en su cuenta antes de poder usarlas para crear solicitudes de cambio
-
-
Diferentes rutas de aprobación para periodos cerrados del calendario y solicitudes de cambio de emergencia
Puede permitir una opción para verificar Change Calendar para ver los eventos restringidos y bloquear solicitudes de cambio aprobadas hasta que se complete el evento. Sin embargo, también puede designar un segundo grupo de aprobadores, aprobadores de congelación de cambios, que pueden permitir que el cambio se realice incluso si el calendario está cerrado. También puede crear plantillas de cambios de emergencia. Las solicitudes de cambio creadas a partir de una plantilla de cambios de emergencia siguen requiriendo las aprobaciones regulares, pero no están sujetas a las restricciones del calendario ni requieren aprobaciones de congelación de cambios.
-
Control de cómo y cuándo se inician los flujos de trabajo del manual de procedimientos
Los flujos de trabajo del manual de procedimientos se pueden iniciar de acuerdo con una programación o tan pronto como se completen las aprobaciones (sujeto a las reglas de restricción del calendario).
-
Compatibilidad integrada con notificaciones
Especifique quién de su organización debe revisar y aprobar las plantillas y las solicitudes de cambios. Asigne un tema de Amazon SNS a una plantilla de cambios para enviar notificaciones a los suscriptores del tema sobre los cambios de estado de las solicitudes de cambio creadas con esa plantilla de cambios.
-
Integración de AWS Systems Manager Change Calendar
Change Manager permite a los administradores restringir los cambios de programación durante periodos especificados. Por ejemplo, puede crear una política que permita cambios solo durante el horario laborable para asegurarse de que el equipo esté disponible para resolver cualquier problema. También puede restringir los cambios durante eventos empresariales importantes. Por ejemplo, las empresas minoristas pueden restringir los cambios durante los grandes eventos de ventas. También puede requerir aprobaciones adicionales durante los periodos con restricciones.
-
Integración con AWS IAM Identity Center y compatibilidad con Active Directory
Con la integración con el Centro de identidades de IAM, los miembros de su organización pueden acceder a las Cuentas de AWS y administrar sus recursos con Systems Manager basándose en una identidad de usuario común. Con el Centro de identidades de IAM, puede asignar a sus usuarios acceso a las AWS.
La integración a Active Directory permite asignar usuarios a su cuenta de Active Directory como aprobadores de plantillas de cambios creadas para sus operaciones de Change Manager.
-
Integración con las alarmas de Amazon CloudWatch
Change Manager está integrado a las alarmas de CloudWatch. Change Manager escucha las alarmas de CloudWatch durante el flujo de trabajo del manual de procedimientos y lleva a cabo cualquier acción, incluido el envío de notificaciones, que se defina para la alarma.
-
Integración con AWS CloudTrail Lake
Al crear un almacén de datos de eventos en AWS CloudTrail Lake, puede ver información auditable sobre los cambios realizados por las solicitudes de cambio que se ejecutan en su cuenta u organización. La información del evento almacenada incluye detalles como los siguientes:
-
Las acciones de API ejecutadas
-
Los parámetros de solicitud incluidos para esas acciones
-
El usuario que ejecutó la acción
-
Los recursos que se actualizaron durante el proceso
-
-
Integración con el AWS Organizations
Mediante las capacidades entre cuentas proporcionadas por Organizations, puede utilizar una cuenta de administrador delegado para administrar las operaciones de Change Manager en las unidades organizativas de su organización. En su cuenta de administración de Organizations, puede especificar qué cuenta será la cuenta de administrador delegado. También puede controlar en cuáles de sus unidades organizativas se puede utilizar Change Manager.
¿Se cobra por usar Change Manager?
Sí. Change Manager tiene un precio de pago por uso. Solo paga por lo que utiliza. Para más información, consulte Precios de AWS Systems Manager
¿Cuáles son los componentes principales de Change Manager?
Los componentes de Change Manager que se utilizan para administrar el proceso de cambios en su organización o su cuenta incluyen los siguientes:
Cuenta de administrador delegado
Si utiliza Change Manager en una organización, debe utilizar una cuenta de administrador delegado. Esta es la Cuenta de AWS designada como la cuenta para administrar las actividades de operaciones en Systems Manager, incluido Change Manager. La cuenta de administrador delegado se encarga de administrar las actividades de cambio en toda la organización. Cuando se configura la organización para utilizar Change Manager, se debe especificar cuál de sus cuentas llevará a cabo este rol. La cuenta de administrador delegado debe ser el único miembro de la unidad organizativa al que esté asignada la capacidad. La cuenta de administrador delegado no es necesaria si Change Manager se utiliza solo con una única Cuenta de AWS.
importante
Si utiliza Change Manager en toda una organización, se recomienda efectuar siempre los cambios desde la cuenta de administrador delegado. Si bien es posible realizar cambios desde otras cuentas de la organización, esos cambios no se notificarán ni se podrán ver desde la cuenta de administrador delegado.
Plantilla de cambios
Una plantilla de cambios es una colección de ajustes de configuración en Change Manager que definen aspectos tales como las aprobaciones requeridas, los manuales de procedimientos disponibles y las opciones de notificación para las solicitudes de cambio.
Puede requerir que las plantillas de cambios que creen los usuarios de su organización o cuenta pasen por un proceso de aprobación antes de que puedan utilizarse.
Change Manager admite dos tipos de plantillas de cambios. Para una solicitud de cambio aprobada que se basa en una plantilla de cambios de emergencia, el cambio solicitado se puede realizar incluso si existen eventos de bloqueo en Change Calendar. Si se trata de una solicitud de cambio aprobada que se basa en una plantilla de cambios estándar, el cambio solicitado no se puede realizar si existen eventos de bloqueo en Change Calendar, a menos que se reciban aprobaciones adicionales por parte de los aprobadores de eventos de congelación de cambios designados.
Solicitud de cambio
Una solicitud de cambio se trata de una solicitud en Change Manager para ejecutar un manual de procedimientos de Automation que actualice uno o más recursos de sus entornos locales o en AWS. Una solicitud de cambio se crea usando una plantilla de cambios.
Cuando se crea una solicitud de cambio, uno o más aprobadores de su organización o cuenta deben revisar y aprobar la solicitud. Sin las aprobaciones necesarias, el flujo de trabajo del manual de procedimientos, que aplica los cambios solicitados, no puede ejecutarse.
En el sistema, las solicitudes de cambio son un tipo de OpsItem en AWS Systems Manager OpsCenter. Sin embargo, los OpsItems del tipo /aws/changerequest
no se muestran en OpsCenter. Como OpsItems, las solicitudes de cambio están sujetas a las mismas cuotas obligatorias que otros tipos de OpsItems.
Además, para crear una solicitud de cambio mediante programación, no debe llamar a la operación CreateOpsItem
de la API. En cambio, debe utilizar la operación StartChangeRequestExecution
de la API. Pero en lugar de ejecutarse inmediatamente, la solicitud de cambio debe aprobarse y, además, no debe haber ningún evento de bloqueo en Change Calendar que evite que el flujo de trabajo se ejecute. La acción StartChangeRequestExecution
recién se podrá completar cuando se hayan recibido las aprobaciones necesarias y el calendario no esté bloqueado (o se haya concedido permiso para omitir eventos de bloqueo del calendario).
Flujo de trabajo de manual de procedimientos
El flujo de trabajo del manual de procedimientos es el proceso de cambios solicitados que se realizan en los recursos de destino de su entorno en la nube o en las instalaciones. Cada solicitud de cambio designa un único manual de procedimientos de Automation que se debe utilizar para llevar a cabo el cambio solicitado. El flujo de trabajo del manual de procedimientos se lleva a cabo después de que se han otorgado todas las aprobaciones necesarias y si no hay eventos de bloqueo en Change Calendar. Si el cambio se ha programado para una fecha y hora específicas, el flujo de trabajo del manual de procedimientos no comienza sino hasta el momento programado, incluso si se han recibido todas las aprobaciones y el calendario no está bloqueado.