AWS Systems Manager Change Manager - AWS Systems Manager
Fonctionnement d'Change ManagerQuels avantages Change Manager présente-t-il pour mes opérations ?À qui est destiné Change Manager ?Quelles sont les principales fonctionnalités Change Manager ?L'utilisation d'Change Manager entraîne-t-elle des frais ?Quels sont les principaux composants de Change Manager?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Systems Manager Change Manager

Change Manager, une fonctionnalité de AWS Systems Manager, est un cadre de gestion des modifications d'entreprise permettant de demander, d'approuver, de mettre en œuvre et de signaler les modifications opérationnelles apportées à la configuration et à l'infrastructure de vos applications. À partir d'un seul compte d'administrateur délégué, si vous en avez un AWS Organizations, vous pouvez gérer les modifications sur plusieurs comptes Comptes AWS et de manière transversale Régions AWS. En variante, en utilisant un compte local, vous pouvez gérer les modifications d'un Compte AWS unique. Change ManagerÀ utiliser pour gérer les modifications apportées aux AWS ressources et aux ressources locales. Pour vos premiers pas dans Change Manager, ouvrez Systems Manager console. Dans le panneau de navigation, sélectionnez Change Manager.

Avec Change Manager, vous pouvez utiliser des modèles de modifications approuvés pour automatiser les processus de modification de vos ressources et éviter les résultats non intentionnels lors des modifications opérationnelles. Chaque modèle de modification spécifie ce qui suit :

  • Un ou plusieurs runbooks Automation à choisir par un utilisateur lors de la création d'une demande de modification. Les modifications apportées à vos ressources sont définies dans les runbooks Automation. Vous pouvez inclure des runbooks personnalisés ou des runbooks gérés par AWS dans les modèles de modifications que vous créez. Lorsqu'un utilisateur crée une demande de modification, il peut choisir quel runbook inclure dans la demande, parmi ceux qui sont disponibles. En outre, vous pouvez créer des modèles de modifications où l'utilisateur qui effectue la demande peut spécifier n'importe quel runbook dans la demande de modification.

  • Les utilisateurs du compte qui doivent vérifier les demandes de modifications qui ont été faites à l'aide de ce modèle de modification.

  • La rubrique Amazon Simple Notification Service (Amazon SNS) qui sert à informer les approbateurs affectés qu'une demande de modification est prête à être vérifiée.

  • L' CloudWatch alarme Amazon utilisée pour surveiller le flux de travail du runbook.

  • La rubrique Amazon SNS qui sert à envoyer des notifications relatives aux changements de statut des demandes de modifications créées à l'aide du modèle de modification.

  • Les balises à appliquer au modèle de modification pour catégoriser et filtrer vos modèles de modifications.

  • La possibilité que les demandes de modifications créées à partir du modèle de modification soient exécutées sans une étape d'approbation (demandes approuvées automatiquement).

Grâce à son intégrationChange Calendar, qui est une autre fonctionnalité de Systems Manager, elle vous permet Change Manager également de mettre en œuvre des modifications en toute sécurité tout en évitant les conflits de calendrier avec des événements commerciaux importants. Change Managerintégration avec AWS Organizations et AWS IAM Identity Center aide à gérer les changements au sein de votre organisation à partir d'un seul compte en utilisant votre système de gestion des identités existant. Vous pouvez surveiller la progression des modifications à partir de Change Manager et auditer les modifications opérationnelles au sein de votre organisation afin d'améliorer la visibilité et la responsabilisation.

Change Manager complète les contrôles de sécurité de vos pratiques d'intégration continue (IC) et votre méthodologie de livraison continue(CD). Change Manager ne concerne pas les modifications apportées dans le cadre d'un processus de publication automatisé, un pipeline CI/CD par exemple, sauf si une exception ou une approbation est exigée.

Fonctionnement d'Change Manager

Lorsque la nécessité d'une modification opérationnelle standard ou d'urgence est identifiée, une personne de l'organisation crée une demande de modification basée sur l'un des modèles de modifications créés pour votre organisation ou votre compte.

Si la modification demandée exige des approbations manuelles, Change Manager avertit les approbateurs désignés via une notification Amazon SNS qu'une demande de modification est prête à être vérifiée. Vous pouvez désigner des approbateurs pour les demandes de modifications dans le modèle de modification ou laisser les utilisateurs désigner eux-mêmes des approbateurs dans la demande de modification. Vous pouvez affecter différents vérificateurs à différents modèles. Par exemple, affectez un utilisateur, groupe d'utilisateurs ou rôle AWS Identity and Access Management (IAM) à l'approbation des demandes de modification des nœuds gérés, et un autre utilisateur, groupe ou rôle IAM à celle des demandes de modification de la base de données. Si le modèle de modification autorise les approbations automatiques et qu'une politique d'utilisateur d'un demandeur ne l'interdit pas, l'utilisateur peut également choisir d'exécuter le runbook Automation pour sa demande sans une étape de vérification (à l'exception des événements de gel des modifications).

Pour chaque modèle de modification, vous pouvez ajouter jusqu'à cinq niveaux d'approbateurs. Par exemple, vous pouvez d'abord demander à des vérificateurs techniques d'approuver une demande de modification créée à partir d'un modèle de modification, puis exiger un second niveau d'approbation de la part d'un ou plusieurs responsables.

Change Manager est intégré à AWS Systems Manager Change Calendar. Lorsqu'une modification demandée est approuvée, le système détermine d'abord si la demande est en conflit avec d'autres activités métier planifiées. Si un conflit est détecté, Change Manager peut bloquer la modification ou exiger des approbations supplémentaires avant de démarrer le flux de travail du runbook. Par exemple, vous pouvez autoriser l'exécution de modifications uniquement pendant les heures ouvrables afin que les équipes soient disponibles pour gérer les problèmes inattendus. Pour l'exécution de modifications en dehors de ces heures, vous pouvez exiger l'approbation d'un échelon supérieur de la direction, servant alors d'approbateurs de gel des modifications. Pour des modifications d'urgence, Change Manager peut ignorer l'étape de vérification de conflits ou d'événements de blocage en lien avec Change Calendar, après qu'une demande de modification a été approuvée.

Lorsqu'il est temps d'implémenter un changement approuvé, Change Manager exécute le runbook Automation spécifié dans la demande de modification associée. Seules les opérations définies dans les demandes de modifications approuvées sont autorisées lors de l'exécution des flux de travail du runbook. Cette approche permet d'éviter les résultats non intentionnels durant l'implémentation des modifications.

En plus de limiter les modifications qui peuvent être apportées lors de l'exécution d'un flux de travail de runbook, Change Manager vous aide également à contrôler la simultanéité et les seuils d'erreur. Vous sélectionnez le nombre de ressources sur lesquelles un flux de travail de runbook peut s'exécuter simultanément, le nombre de comptes sur lesquels la modification peut s'exécuter simultanément, et le nombre d'échecs à autoriser avant que le processus soit arrêté, et (si le runbook inclut un script d'annulation), annulé. Vous pouvez également suivre la progression des modifications apportées à l'aide d' CloudWatch alarmes.

Une fois le flux de travail de runbook terminé, vous pouvez vérifier les détails des modifications apportées. Ces détails comprennent la raison de la demande de modification, le modèle de modification utilisé, la personne qui a demandé et approuvé les modifications, et la façon dont les modifications ont été implémentées.

Plus d'informations

Présentation de AWS Systems ManagerChange Manager dans le Blog d'actualités AWS

Quels avantages Change Manager présente-t-il pour mes opérations ?

Les avantages d'Change Manager sont les suivants :

  • Réduction des risques d'interruption de service et de temps d'arrêt

    Change Manager peut renforcer la sécurité des modifications opérationnelles en veillant à ce que seules les modifications approuvées soient implémentées lors de l'exécution d'un flux de travail de runbook. Vous pouvez bloquer les modifications non planifiées et non vérifiées. Change Manager vous aide à éviter les types de résultats non intentionnels dus à une erreur humaine et qui exigent des heures coûteuses de recherche et de retour sur trace.

  • Obtention d'audits et de rapports détaillés sur les historiques de modifications

    Change Manager favorise la responsabilisation grâce à des rapports et des audits cohérents sur les modifications apportées au sein de votre organisation, l'intention des modifications et des détails sur les personnes qui les ont approuvées et implémentées.

  • Évitement des conflits ou violations de planification

    Change Manager peut détecter des conflits de planification, tels que des événements de vacances ou des lancements de nouveaux produits, en se basant sur le calendrier des modifications actives de votre organisation. Vous pouvez autoriser l'exécution de workflows de runbook uniquement pendant les heures ouvrables ou uniquement avec des approbations supplémentaires.

  • Adaptation des exigences de gestion des modifications au calendrier de votre entreprise

    En fonction des périodes d'activité, vous pouvez implémenter différentes exigences de gestion des modifications. Par exemple, au cours de la période des end-of-month rapports, de la saison des impôts ou d'autres périodes commerciales critiques, vous pouvez bloquer les modifications ou demander l'approbation du directeur pour les modifications susceptibles d'entraîner des risques opérationnels inutiles.

  • Gestion centralisée des modifications entre comptes

    Grâce à son intégration à Organizations, Change Manager vous permet de gérer les modifications dans toutes vos unités organisationnelles (UO) depuis un compte d'administrateur délégué unique. Vous pouvez activer Change Manager pour l'utiliser dans toute votre organisation ou seulement certaines unités organisationnelles.

À qui est destiné Change Manager ?

Change Managerconvient aux AWS clients et organisations suivants :

  • Tout AWS client qui souhaite améliorer la sécurité et la gouvernance des modifications opérationnelles apportées à son environnement cloud ou sur site.

  • Les organisations désireuses d'améliorer la collaboration et la visibilité entre équipes, d'accroître la disponibilité des applications en évitant les temps d'arrêt, et de réduire les risques associés aux tâches manuelles et répétitives.

  • Les organisations qui doivent se conformer aux bonnes pratiques en matière de gestion des modifications.

  • Les clients qui ont besoin d'un historique auditable des modifications apportées à la configuration et à l'infrastructure de leur application.

Quelles sont les principales fonctionnalités Change Manager ?

Les principales fonctionnalités de Change Manager sont décrites ci-après :

  • Prise en charge intégrée des bonnes pratiques en matière de gestion des modifications

    Avec Change Manager, vous pouvez appliquer certaines bonnes pratiques de gestion des modifications à vos opérations. Vous pouvez choisir d'activer les options suivantes :

    • Vérifiez Change Calendar pour voir si des restrictions affectent des événements et que des modifications ne peuvent être effectuées que pendant les heures ouvrables.

    • Autorisez des modifications durant des événements restreints avec des approbations supplémentaires émanant d'approbateurs de gel des modifications.

    • Exiger que des CloudWatch alarmes soient spécifiées pour tous les modèles de modification.

    • Exigez que tous les modèles de modifications créés dans votre compte soient vérifiés et approuvés avant d'être utilisés pour créer des demandes de modifications.

  • Différents chemins d'approbation pour les périodes civiles fermées ainsi que les demandes de modification d'urgence

    Vous pouvez autoriser une option qui vérifie les événements restreints dans Change Calendar et bloque les demandes de modifications approuvées jusqu'à ce que l'événement soit terminé. Vous pouvez également désigner un second groupe d'approbateurs, les approbateurs de gel des modifications, qui peuvent autoriser la modification même en dehors des heures ouvrables. Vous pouvez aussi créer des modèles de modifications d'urgence. Les demandes de modifications créées à partir d'un modèle de modification d'urgence exigent toujours des approbations régulières, mais ne sont pas soumises à des restrictions de calendrier et ne nécessitent pas d'approbations de gel des modifications.

  • Contrôler la méthode et l'instant de démarrage de flux de travail de runbook

    Les flux de travail de runbook peuvent être démarrés de façon planifiée ou dès que les approbations sont terminées (sous réserve des règles de restriction de calendrier).

  • Prise en charge intégrée des notifications

    Indiquez les personnes qui, au sein de votre organisation, doivent vérifier et approuver les modèles de modifications et les demandes de modifications. Affectez une rubrique Amazon SNS à un modèle de modification pour envoyer des notifications aux abonnés de la rubrique à propos des changements de statut de demandes de modifications créées avec ce modèle de modification.

  • Intégration avec AWS Systems Manager Change Calendar

    Change Manager permet aux administrateurs de restreindre les modifications de planification pendant des périodes spécifiées. Par exemple, vous pouvez créer une politique qui autorise les modifications uniquement pendant les heures ouvrables afin que l'équipe soit disponible pour gérer les problèmes. Vous pouvez également restreindre les modifications lors d'événements professionnels importants. Par exemple, les entreprises de vente au détail peuvent restreindre les modifications lors d'événements de grande envergure. Vous pouvez également exiger des approbations supplémentaires pendant les périodes restreintes.

  • Intégration avec Active Directory AWS IAM Identity Center et prise en charge

    Grâce à l'intégration à IAM Identity Center, les membres de votre organisation peuvent accéder à Comptes AWS et gérer leurs ressources en utilisant Systems Manager à partir d'une identité utilisateur commune. L'utilisation d'IAM Identity Center vous permet d'affecter à vos utilisateurs l'accès à des comptes dans AWS.

    L'intégration à Active Directory permet d'affecter des utilisateurs de votre compte Active Directory en tant qu'approbateurs pour les modèles de modifications créés pour vos opérations Change Manager.

  • Intégration aux CloudWatch alarmes Amazon

    Change Managerest intégré aux CloudWatch alarmes. Change Managerécoute les CloudWatch alarmes pendant le flux de travail du runbook et prend toutes les mesures, y compris l'envoi de notifications, définies pour l'alarme.

  • Intégration avec AWS CloudTrail Lake

    En créant un magasin de données d'événements dans AWS CloudTrail Lake, vous pouvez consulter des informations vérifiables sur les modifications apportées par les demandes de modification exécutées dans votre compte ou votre organisation. Les informations stockées sur les événements incluent des informations telles que les suivantes :

    • Les actions d'API qui ont été exécutées

    • Les paramètres de demande inclus pour ces actions

    • L'utilisateur qui a exécuté l'action

    • Les ressources qui ont été mises à jour au cours du processus

  • Intégration avec AWS Organizations

    L'utilisation des fonctionnalités intercompte proposées par Organizations vous permet d'utiliser un compte d'administrateur délégué pour gérer des opérations Change Manager dans des UO de votre organisation. Dans votre compte de gestion Organizations, vous pouvez spécifier quel compte doit être le compte d'administrateur délégué. Vous pouvez également contrôler dans laquelle de vos UO Change Manager peut être utilisé.

L'utilisation d'Change Manager entraîne-t-elle des frais ?

Oui Change Managerle prix est calculé sur une pay-per-use base. Vous ne payez que ce que vous utilisez. Pour plus d'informations, consultez AWS Systems Manager Pricing (Tarification CTlong).

Quels sont les principaux composants de Change Manager?

Voici les composants de Change Manager, que vous utilisez pour gérer le processus de modification dans votre organisation ou votre compte :

Compte administrateur délégué

Si vous utilisez Change Manager dans une organisation, vous utilisez un compte d'administrateur délégué. C'est le Compte AWS désigné comme compte pour la gestion des activités opérationnelles dans Systems Manager, notamment Change Manager. Le compte d'administrateur délégué gère les activités de modification au sein de votre organisation. Lorsque vous configurez votre organisation pour une utilisation avec Change Manager, vous spécifiez lequel de vos comptes tiendra ce rôle. Le compte d'administrateur délégué doit être le seul membre de l'unité d'organisation (UO) à laquelle il est affecté. Le compte d'administrateur délégué n'est pas obligatoire si vous ne l'utilisez qu'Change Manageravec un Compte AWS seul.

Important

Si vous utilisez Change Manager au sein d'une organisation, nous vous recommandons de toujours apporter les modifications à partir du compte d'administrateur délégué. Bien qu'il soit possible d'apporter des modifications à partir d'autres comptes de l'organisation, celles-ci ne seront pas signalées ou affichées à partir du compte d'administrateur délégué.

Modèle de modification

Un modèle de modification est un ensemble de paramètres de configuration dans Change Manager, qui définissent des éléments tels que les approbations requises, les runbooks disponibles et les options de notification relatives aux demandes de modifications.

Vous pouvez exiger que les modèles de modifications créés par les utilisateurs de votre organisation ou de votre compte passent par un processus d'approbation avant d'être utilisés.

Change Manager prend en charge deux types de modèles de modifications. Pour une demande de modification approuvée basée sur un modèle de modification d'urgence, la modification demandée peut être effectuée même s'il existe des événements de blocage dans Change Calendar. Pour une demande de modification approuvée basée sur un modèle de modification standard, la modification demandée ne peut pas être effectuée s'il existe des événements de blocage dans Change Calendar, sauf si des approbations supplémentaires sont reçues d'approbateurs d'événements de gel des modifications.

Demande de modification

Une demande de modification est une demande visant Change Manager à exécuter un runbook d'automatisation qui met à jour une ou plusieurs ressources dans votre environnement AWS ou dans votre environnement sur site. Une demande de modification est créée à l'aide d'un modèle de modification.

Lorsque vous créez une demande de modification, un ou plusieurs approbateurs de votre organisation ou de votre compte doivent la vérifier et l'approuver. Sans les approbations requises, le flux de travail de runbook, qui applique les modifications demandées, n'est pas autorisé à s'exécuter.

Dans le système, les demandes de modification sont un type OpsItem d'entrée AWS Systems Manager OpsCenter. Toutefois, des OpsItems du type /aws/changerequest ne sont pas affichés dans OpsCenter. En tant qu'OpsItems, les demandes de modification sont soumises aux mêmes quotas que pour les autres types d'OpsItems.

En outre, pour créer une demande de modification par programmation, vous n'appelez pas l'opération d'API CreateOpsItem. Vous utilisez plutôt l'opération d'API StartChangeRequestExecution. Cependant, la demande de modification ne peut pas s'exécuter immédiatement ; elle doit être approuvée, et il ne doit y avoir aucun événement de blocage dans Change Calendarsusceptible d'empêcher l'exécution du flux de travail. Après que les approbations ont été reçues, et si le calendrier n'est pas bloqué (ou que l'autorisation de contourner les événements de calendrier bloqués a été accordée), l'action StartChangeRequestExecution peut se terminer.

Flux de travail de runbook

Un flux de travail de runbook est le processus des modifications demandées apportées aux ressources ciblées dans votre environnement cloud ou local. Chaque demande de modification désigne un runbook Automation unique, à utiliser pour effectuer la modification demandée. Le flux de travail de runbook se produit après que toutes les approbations requises ont été accordées et s'il n'y a pas d'événements de blocage dans Change Calendar. Si la modification a été planifiée à une date et une heure spécifiques, le flux de travail de runbook ne démarre pas avant la date prévue, même si toutes les approbations ont été reçues et que le calendrier n'est pas bloqué.

Rubriques