Creación de solicitudes de cambio

Cuando crea una solicitud de cambio en Change Manager, una capacidad de AWS Systems Manager, la plantilla de cambios que selecciona normalmente realiza los siguientes procedimientos:

• Designa los aprobadores de la solicitud de cambio o especifica cuántas aprobaciones se requieren.

• Especifica el tema de Amazon Simple Notification Service (Amazon SNS) que se va a utilizar para notificar a los aprobadores acerca de la solicitud de cambio.

• Especifica una alarma de Amazon CloudWatch para monitorear el flujo de trabajo del manual de procedimientos para la solicitud de cambio.

• Identifica qué manuales de procedimientos de Automation puede elegir para realizar el cambio solicitado.

En algunos casos, es posible que una plantilla de cambios se configure para que usted especifique su propio manual de procedimientos de Automation que va a utilizar y, también, quién debe revisar y aprobar la solicitud.

importante

Si utiliza Change Manager en toda una organización, se recomienda efectuar siempre los cambios desde la cuenta de administrador delegado. Si bien es posible realizar cambios desde otras cuentas de la organización, esos cambios no se notificarán ni se podrán ver desde la cuenta de administrador delegado.

Acerca de las aprobaciones de solicitudes de cambio

Según los requisitos especificados en una plantilla de cambios, las solicitudes de cambio que cree a partir de ella pueden requerir la aprobación de hasta cinco niveles antes de que pueda realizarse el flujo de trabajo del manual de procedimientos de la solicitud. Para cada uno de esos niveles, el creador de la plantilla puede especificar hasta cinco posibles aprobadores. Un aprobador no se limita a un solo usuario. En este sentido, un aprobador también puede ser un grupo de IAM o un rol de IAM. En el caso de los grupos de IAM y los roles de IAM, uno o más usuarios que pertenezcan al grupo o al rol pueden dar su aprobación a fin de recibir el número total de aprobaciones necesarias para una solicitud de cambio. Los creadores de plantillas también pueden especificar más aprobadores de los que requiere la plantilla de cambios.

Flujos de trabajo de aprobación originales y aprobaciones actualizadas

Con las plantillas de cambios creadas antes del 23 de enero de 2023, se debe recibir la aprobación de cada aprobador especificado para que la solicitud de cambio se apruebe en ese nivel. Por ejemplo, en la configuración del nivel de aprobación que se muestra en la siguiente imagen, se especifican cuatro aprobadores. Los aprobadores especificados incluyen dos usuarios (John Stiles y Ana Carolina Silva), un grupo de usuarios que contiene tres miembros (GroupOfThree) y un rol de usuario que representa a diez usuarios (RoleOfTen).

Para que la solicitud de cambio se apruebe en este nivel, deben aprobarla John Stiles, Ana Carolina Silva, un miembro del grupo GroupOfThree y un miembro del rol RoleOfTen.

Con las plantillas de cambios creadas el 23 de enero de 2023 o después, los creadores de plantillas pueden especificar el número total de aprobaciones necesarias para cada nivel de aprobación. Esas aprobaciones pueden provenir de cualquier combinación de usuarios, grupos y roles que se hayan especificado como aprobadores. Una plantilla de cambios puede requerir solo una aprobación para un nivel, pero especificar, por ejemplo, dos usuarios individuales, dos grupos y un rol como posibles aprobadores.

Por ejemplo, en el área de niveles de aprobación que se muestra en la siguiente imagen, se requieren tres aprobaciones. Los aprobadores especificados por la plantilla incluyen dos usuarios (John Stiles y Ana Carolina Silva), un grupo de usuarios que contiene tres miembros (GroupOfThree) y un rol de usuario que representa a diez usuarios (RoleOfTen).

Si los tres usuarios del grupo GroupOfThree aprueban la solicitud de cambio, se aprueba para ese nivel. No es necesario recibir la aprobación de cada usuario, grupo o rol. El número mínimo de aprobaciones puede provenir de cualquier combinación de posibles aprobadores.

Cuando se crea la solicitud de cambios, se envían notificaciones a los suscriptores del tema de Amazon SNS que se ha especificado para las notificaciones de aprobación en ese nivel. Es posible que el creador de la plantilla de cambios haya especificado el tema de notificación que se debe utilizar o le haya permitido especificar uno.

Una vez recibido el número mínimo de aprobaciones requeridas en un nivel, se envían notificaciones a los aprobadores que estén suscritos al tema de Amazon SNS para el siguiente nivel, y así sucesivamente.

Independientemente del número de niveles de aprobación y aprobadores que se especifiquen, solo se requiere un rechazo a una solicitud de cambio para evitar que se produzca el flujo de trabajo del manual de procedimientos de esa solicitud.

Creación de solicitudes de cambio (consola)

El siguiente procedimiento describe cómo crear una solicitud de cambio con la consola de Systems Manager.

Creación de una solicitud de cambio (consola)

1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

2. En el panel de navegación, elija Change Manager.

3. Seleccione Create request (Crear solicitud).

4. Busque y seleccione una plantilla de cambios que desee utilizar para esta solicitud de cambio.

5. Elija Siguiente.

6. En Name (Nombre), ingrese un nombre para la solicitud de cambio que facilite la identificación de su finalidad, como UpdateEC2LinuxAMI-us-east-2.

7. En Runbook (Manual de procedimientos), seleccione el manual de procedimientos que desea utilizar para realizar el cambio solicitado.

   nota

   Si la opción para seleccionar un manual de procedimientos no está disponible, se debe a que el autor de la plantilla de cambios ha especificado qué manual de procedimientos se debe utilizar.

8. En Change request information (Información de la solicitud de cambio), utilice Markdown para proporcionar información adicional sobre la solicitud de cambio para ayudar a los revisores a decidir si aprobar o rechazar la solicitud de cambio. Es posible que el autor de la plantilla que utilice haya proporcionado instrucciones o preguntas para que responda.

   nota

   Markdown es un lenguaje de marcado que le permite agregar descripciones de estilo wiki a documentos y pasos individuales dentro del documento. Para obtener más información acerca del uso de Markdown, consulte Uso de Markdown en AWS.

9. En la sección Workflow start time (Hora de inicio del flujo de trabajo), elija una de las siguientes opciones:

   • Ejecutar la operación a una hora programada: en Requested start time (Hora de inicio solicitada), ingrese la fecha y la hora que propone para que se ejecute el flujo de trabajo del manual de procedimientos de esta solicitud. En Estimated end time (Hora de finalización estimada), ingrese la fecha y la hora en las que espera que se complete el flujo de trabajo del manual de procedimientos. (Esta vez es solo una estimación que usted proporciona a los revisores).

     sugerencia

     Seleccione View Change Calendar (Ver calendario de cambios) para verificar si hay eventos de bloqueo durante el tiempo especificado.

   • Ejecutar la operación tan pronto como sea posible después de la aprobación: si se aprueba la solicitud de cambio, el flujo de trabajo del manual de procedimientos se ejecuta tan pronto como haya un periodo sin restricciones en el que se puedan realizar los cambios.

10. En la sección Change request approvals (Aprobaciones de solicitudes de cambio), realice el siguiente procedimiento:

    1. Si se presentan las opciones de Approval type (Tipo de aprobación), elija alguna de las siguientes opciones:

       • Apruebe de forma automática: la plantilla de cambios seleccionada está configurada para permitir que las solicitudes de cambio se ejecuten automáticamente sin que los aprobadores las revisen. Continúe con el paso 11.

         nota

         Los permisos especificados en las políticas de IAM que rigen el uso de Systems Manager no deben impedir que envíe solicitudes de cambio de aprobación automática para que se ejecuten automáticamente.

       • Especifique aprobadores: debe agregar uno o más usuarios, grupos o roles de IAM para que revisen y aprueben esta solicitud de cambio.

         nota

         Puede elegir especificar revisores incluso si los permisos especificados en las políticas de IAM que rigen el uso de Systems Manager le permiten ejecutar solicitudes de cambio de aprobación automática.

    2. Seleccione Add approver (Agregar aprobador) y, a continuación, elija uno o más usuarios, grupos o roles de AWS Identity and Access Management (IAM) de las listas de revisores disponibles.

       nota

       Es posible que ya se hayan especificado uno o más aprobadores. Esto significa que los aprobadores obligatorios ya están especificados en la plantilla de cambios que seleccionó. Estos aprobadores no se pueden eliminar de la solicitud. Si el botón Agregar aprobador no está disponible, significa que la plantilla que ha elegido no permite agregar revisores adicionales a las solicitudes.

       Para obtener más información acerca de cómo aprobar las solicitudes de cambio, consulte Acerca de las aprobaciones de solicitudes de cambio.

    3. En SNS topic to notify approvers (Tema de SNS para notificar a los aprobadores), elija una de las siguientes opciones para especificar el tema de Amazon SNS de su cuenta que se utilizará para enviar notificaciones a los aprobadores que agregue a esta solicitud de cambio.

       nota

       Si la opción para especificar un tema de Amazon SNS no está disponible es porque la plantilla de cambios que seleccionó ya especifica el tema de Amazon SNS que se va a utilizar.

       • Ingrese un nombre de recurso de Amazon (ARN) de SNS: en Topic ARN (ARN de tema), ingrese el ARN de un tema de Amazon SNS existente. Este tema puede estar en cualquiera de las cuentas de su organización.

       • Seleccione un tema de SNS existente: en Target notification topic (Tema de notificaciones de destino), seleccione el ARN de un tema de Amazon SNS existente en su cuenta actual. (Esta opción no estará disponible si aún no ha creado ningún tema de Amazon SNS en su Cuenta de AWS y Región de AWS actuales).

       nota

       El tema de Amazon SNS que seleccione debe estar configurado para especificar las notificaciones que envía y los suscriptores a los que se las envía. Su política de acceso también debe conceder permisos a Systems Manager para que Change Manager pueda enviar notificaciones. Para obtener más información, consulte Configuración de temas de Amazon SNS para las notificaciones de Change Manager.

    4. Seleccione Agregar notificación.

11. Elija Siguiente.

12. En IAM role (Rol de IAM), seleccione un rol de IAM de su cuenta actual que tenga los permisos necesarios para ejecutar los manuales de procedimientos especificados para esta solicitud de cambio.

    Este rol también se conoce como rol de servicio, o rol de asunción, para Automation. Para obtener más información acerca de este rol, consulte Configuración de Automation.

13. En la sección Deployment location (Ubicación de implementación), elija una de las siguientes opciones:

    nota

    Si utiliza Change Manager con una única Cuenta de AWS y no con una organización configurada en AWS Organizations, no es necesario que especifique una ubicación de implementación.

    • Aplique el cambio a esta cuenta: el flujo de trabajo del manual de procedimientos se ejecuta solo en la cuenta actual. Para una organización, esto significa que se ejecuta en la cuenta de administrador delegado.

    • Aplique el cambio a varias unidades organizativas: en este caso, realice el siguiente procedimiento:

      1. En Accounts and organizational units (OUs) (Cuentas y unidades organizativas), ingrese el ID de una cuenta miembro de su organización en el formato 123456789012 o el ID de una unidad organizativa en el formato o-o96EXAMPLE.

      2. (Opcional) Para Execution role name (Nombre del rol de ejecución), ingrese el nombre del rol de IAM de la cuenta de destino o de la OU que tenga los permisos necesarios para ejecutar los manuales de procedimientos especificados para esta solicitud de cambio. Todas las cuentas de cualquier unidad organizativa que especifique deben usar el mismo nombre para este rol.

      3. (Opcional) Elija Agregar otra ubicación de destino para cada cuenta o unidad organizativa adicional que desee especificar y repita los pasos a y b.

      4. En región de destinoRegión de AWS, seleccione la región en la que desea realizar el cambio; por ejemplo, Ohio (us-east-2) para la región Este de EE. UU. (Ohio).

      5. Amplíe Rate control (Control de velocidad).

         Para Concurrency (Simultaneidad), ingrese un número y, a continuación, en la lista, seleccione si representa la cantidad o el porcentaje de cuentas en las que puede ejecutarse el flujo de trabajo del manual de procedimientos al mismo tiempo.

         En Error threshold (Límite de errores), ingrese un número y, a continuación, en la lista, seleccione si representa la cantidad o el porcentaje de cuentas en las que el flujo de trabajo del manual de procedimientos puede producir error antes de que se detenga la operación.

14. En la sección Deployment targets (Destinos de implementación), realice el siguiente procedimiento:

    1. Seleccione una de las siguientes opciones:

       • Single resource (Recurso único): el cambio debe hacerse solo para un recurso. Por ejemplo, un único nodo o una única Amazon Machine Image (AMI), según la operación definida en los manuales de procedimientos para esta solicitud de cambio.

       • Multiple resources (Recursos múltiples): en Parameter (Parámetro), seleccione uno de los parámetros disponibles de los manuales de procedimientos para esta solicitud de cambio. Esta selección refleja el tipo de recurso que se va a actualizar.

         Por ejemplo, si el manual de procedimientos de esta solicitud de cambio es AWS-RetartEC2Instance, puede elegir InstanceId y, a continuación, definir qué instancias se actualizan seleccionando una de las siguientes opciones:

         • Specify tags (Especificar etiquetas): ingrese un par de clave-valor con el que se etiquetarán todos los recursos que se van a actualizar.

         • Choose a resource group (Elegir un grupo de recursos): elija el nombre del grupo de recursos al que pertenecen todos los recursos que se van a actualizar.

         • Specify parameter values (Especificar valores de parámetros): identifique los recursos que se van a actualizar en la sección Runbook parameters (Parámetros del manual de procedimientos).

         • Target all instances (Abarcar todas las instancias): realice el cambio en todos los nodos administrados de las ubicaciones de destino.

    2. Si eligió Multiple resources (Recursos múltiples), expanda Rate control (Control de velocidad).

       En Concurrency (Simultaneidad), ingrese un número y, a continuación, en la lista, seleccione si representa la cantidad o el porcentaje de destinos que el flujo de trabajo del manual de procedimientos puede actualizar al mismo tiempo.

       En Error threshold (Límite de errores), ingrese un número y, a continuación, en la lista, seleccione si representa la cantidad o el porcentaje de destinos en los que la actualización puede producir error antes de que se detenga la operación.

15. Si en el paso anterior eligió Specify parameter values (Especificar valores de parámetros) para actualizar varios recursos, en la sección Runbook parameters (Parámetros del manual de procedimientos), especifique valores para los parámetros de entrada requeridos. Los valores de los parámetros que debe proporcionar se basan en el contenido de los manuales de procedimientos de Automation asociados a la plantilla de cambios que eligió.

    Por ejemplo, si la plantilla de cambios utiliza el manual de procedimientos AWS-RetartEC2Instance, debe ingresar uno o más ID de instancia para el parámetro InstanceId. También puede elegir Show interactive instance picker (Mostrar selector de instancias interactivo) y seleccionar las instancias disponibles una por una.

16. Elija Siguiente.

17. En la página Review and submit (Revisar y enviar), revise minuciosamente los recursos y las opciones que ha especificado para esta solicitud de cambio.

    Elija el botón Edit (Editar) en cualquier sección en la que desee realizar cambios.

    Cuando esté satisfecho con los detalles de la solicitud de cambio, elija Submit for approval (Enviar para aprobación).

Si se especificó un tema de Amazon SNS en la plantilla de cambios que eligió para la solicitud, las notificaciones se envían cuando la solicitud se rechaza o se aprueba. Si no recibe notificaciones por la solicitud, puede regresar a Change Manager para verificar su estado.

Creación de solicitudes de cambio (AWS CLI)

Puede crear una solicitud de cambio mediante AWS Command Line Interface (AWS CLI) con la especificación de opciones y parámetros para la solicitud de cambio en un archivo JSON y con el uso de la opción --cli-input-json para incluirlo en su comando.

Para crear una solicitud de cambio (AWS CLI)

1. Si aún no lo ha hecho, instale y configure la AWS CLI o AWS Tools for PowerShell.

   Para obtener información, consulte Instalación o actualización de la última versión de la AWS CLI e Instalación de AWS Tools for PowerShell.

2. Cree un archivo JSON en su equipo local con un nombre similar a MyChangeRequest.json y, a continuación, péguele el siguiente contenido.

   Reemplace espacio disponible con valores para la solicitud de cambio.

   nota

   Este ejemplo JSON crea una solicitud de cambio mediante la plantilla de cambio AWS-HelloWorldChangeTemplate y el runbook AWS-HelloWorld. A fin de ayudarlo a adaptar este ejemplo para sus propias solicitudes de cambio, consulte StartChangeRequestExecution en la AWS Systems ManagerReferencia de la API para obtener información sobre todos los parámetros disponibles

   Para obtener más información acerca de cómo aprobar las solicitudes de cambio, consulte Acerca de las aprobaciones de solicitudes de cambio.

   {
       "ChangeRequestName": "MyChangeRequest",
       "DocumentName": "AWS-HelloWorldChangeTemplate",
       "DocumentVersion": "$DEFAULT",
       "ScheduledTime": "2021-12-30T03:00:00",
       "ScheduledEndTime": "2021-12-30T03:05:00",
       "Tags": [
           {
               "Key": "Purpose",
               "Value": "Testing"
           }
       ],
       "Parameters": {
           "Approver": [
               "JohnDoe"
           ],
           "ApproverType": [
               "IamUser"
           ],
           "ApproverSnsTopicArn": [
               "arn:aws:sns:us-east-2:123456789012:MyNotificationTopic"
           ]
       },
       "Runbooks": [
           {
               "DocumentName": "AWS-HelloWorld",
               "DocumentVersion": "1",
               "MaxConcurrency": "1",
               "MaxErrors": "1",
               "Parameters": {
                   "AutomationAssumeRole": [
                       "arn:aws:iam::123456789012:role/MyChangeManagerAssumeRole"
                   ]
               }
           }
       ],
       "ChangeDetails": "### Document Name: HelloWorldChangeTemplate\n\n## What does this document do?\nThis change template demonstrates the feature set available for creating change templates for Change Manager. This template starts a Runbook workflow for the Automation document called AWS-HelloWorld.\n\n## Input Parameters\n* ApproverSnsTopicArn: (Required) Amazon Simple Notification Service ARN for approvers.\n* Approver: (Required) The name of the approver to send this request to.\n* ApproverType: (Required) The type of reviewer.\n  * Allowed Values: IamUser, IamGroup, IamRole, SSOGroup, SSOUser\n\n## Output Parameters\nThis document has no outputs \n"
   }

3. En el directorio en el que creó el archivo JSON, ejecute el siguiente comando.

   aws ssm start-change-request-execution --cli-input-json file://MyChangeRequest.json

   El sistema devuelve información similar a la siguiente.

   {
       "AutomationExecutionId": "b3c1357a-5756-4839-8617-2d2a4EXAMPLE"
   }