Creazione di richieste di modifica

Quando si crea una richiesta di modifica inChange Manager, una funzionalità di AWS Systems Manager, il modello di modifica selezionato in genere esegue le seguenti operazioni:

• Designa gli approvatori per la richiesta di modifica o specifica il numero di approvazioni necessarie

• Specifica l'argomento Amazon Simple Notification Service (Amazon SNS) da utilizzare per notificare agli approvatori la richiesta di modifica

• Specifica un CloudWatch allarme Amazon per monitorare il flusso di lavoro del runbook per la richiesta di modifica

• Identificare i runbook di automazione tra cui è possibile scegliere per apportare la modifica richiesta

In alcuni casi, è possibile configurare un modello di modifica in modo da specificare il runbook di automazione da utilizzare e specificare chi deve esaminare e approvare la richiesta.

Importante

Se utilizzi Change Manager in un'organizzazione, si consiglia di apportare sempre modifiche dall'account amministratore delegato. Sebbene sia possibile apportare modifiche da altri account dell'organizzazione, tali modifiche non verranno segnalate o visualizzate dall'account amministratore delegato.

Informazioni sulle approvazioni delle richieste di modifica

A seconda dei requisiti specificati in un modello di modifica, le richieste di modifica create da esso possono richiedere l'approvazione di un massimo di cinque livelli prima che possa verificarsi il flusso di lavoro del runbook per la richiesta. Per ognuno di questi livelli, il creatore del modello può specificare fino a cinque potenziali approvatori. Un approvatore non è limitato a un singolo utente. Un approvatore in questo senso può anche essere un gruppo IAM o un ruolo IAM. Per i gruppi IAM e i ruoli IAM, uno o più utenti appartenenti al gruppo o al ruolo possono fornire le approvazioni necessarie per ricevere il numero totale di approvazioni necessarie per una richiesta di modifica. I creatori di modelli possono anche specificare più approvatori di quelli richiesti dal modello di modifica.

Flussi di lavoro di approvazione originali e approvazioni e/o aggiornate

Se si utilizzano i modelli di modifica creati prima del 23 gennaio 2023, è necessario ricevere un'approvazione da ogni approvatore specificato affinché la richiesta di modifica venga approvata a quel livello. Ad esempio, nell'impostazione del livello di approvazione mostrata nell'immagine seguente, vengono specificati quattro approvatori. Gli approvatori specificati includono due utenti (John Stiles e Ana Carolina Silva), un gruppo di utenti che contiene tre membri (GroupOfThree) e un ruolo utente che rappresenta dieci utenti (). RoleOfTen

Affinché la richiesta di modifica venga approvata a questo livello, deve essere approvata da John Stiles, Ana Carolina Silva, un membro del gruppo GroupOfThree e un membro del ruolo RoleOfTen.

Se si utilizzano i modelli di modifica creati a partire dal 23 gennaio 2023, i creatori di modelli possono specificare un numero totale complessivo di approvazioni richieste per ciascun livello di approvazione. Tali approvazioni possono provenire da qualsiasi combinazione di utenti, gruppi e ruoli specificati come approvatori. Un modello di modifica può richiedere una singola approvazione per un livello ma specificare, ad esempio, due singoli utenti, due gruppi e un ruolo come potenziali approvatori.

Ad esempio, nell'area del livello di approvazione mostrata nell'immagine seguente, sono necessarie tre approvazioni. Gli approvatori specificati nel modello includono due utenti (John Stiles e Ana Carolina Silva), un gruppo di utenti che contiene tre membri (GroupOfThree) e un ruolo utente che rappresenta dieci utenti (RoleOfTen).

Se tutti e tre gli utenti del gruppo GroupOfThree approvano la richiesta di modifica, questa viene approvata per quel livello. Non è necessario ricevere un'approvazione da ogni utente, gruppo o ruolo. Il numero minimo di approvazioni può provenire da qualsiasi combinazione di potenziali approvatori.

Quando viene creata la richiesta di modifica, le notifiche vengono inviate agli abbonati dell'argomento Amazon SNS specificato per le notifiche di approvazione a quel livello. L'autore del modello di modifica potrebbe aver specificato l'argomento di notifica da utilizzare o aver consentito all'utente di specificarne uno.

Dopo aver ricevuto il numero minimo di approvazioni richieste a un livello, le notifiche vengono inviate agli approvatori abbonati all'argomento Amazon SNS per il livello successivo e così via.

Indipendentemente dal numero di livelli di approvazione e approvatori specificati, è necessario un solo rifiuto a una richiesta di modifica per evitare che il flusso di lavoro del runbook relativo a quella richiesta si verifichi.

Creazione di richieste di modifica (console)

Nella procedura seguente viene descritto come annullare la registrazione di un computer ibrido utilizzando la console Systems Manager.

Per creare una richiesta di modifica (console)

1. Apri la console all'indirizzo https://console.aws.amazon.com/systems-manager/ AWS Systems Manager .

2. Nel riquadro di navigazione, scegli Change Manager.

3. Scegliere Creazione della richiesta.

4. Cercare e selezionare un modello di modifica che si desidera utilizzare per questa richiesta di modifica.

5. Seleziona Successivo.

6. Per Nome, immettere un nome per la richiesta di modifica che consenta di identificarne lo scopo, ad esempio UpdateEC2LinuxAMI-us-east-2.

7. Per Runbook, selezionare il runbook che si desidera utilizzare per apportare le modifiche richieste.

   Nota

   Se l'opzione per selezionare un runbook non è disponibile, l'autore del modello di modifica ha specificato quale runbook deve essere utilizzato.

8. Per Informazioni sulla richiesta di modifica, utilizzare Markdown al fine di fornire ulteriori informazioni sulla richiesta di modifica per aiutare i revisori a decidere se approvare o rifiutare la richiesta di modifica. L'autore del modello che stai utilizzando potrebbe aver fornito istruzioni o domande a cui rispondere.

   Nota

   I documenti di automazione supportano l'uso di Markdown, un linguaggio di markup, che consente di aggiungere descrizioni in stile wiki ai documenti e ai singoli passaggi all'interno del documento. Per ulteriori informazioni sull'utilizzo di Markdown, consulta Utilizzo di Markdown in AWS.

9. Nell'Ora di inizio workflow scegliere una delle seguenti opzioni:

   • Eseguire l'operazione a un'ora pianificata— Per Orario di inizio richiesto, immettere la data e l'ora proposte per l'esecuzione del flusso di lavoro del runbook per questa richiesta. Per Ora di fine stimata immettere la data e l'ora in cui si prevede di completare il flusso di lavoro del runbook. (Questa volta è una stima che stai fornendo solo ai revisori.)

     Suggerimento

     Scegliere Visualizza Change Calendarper verificare eventuali eventi di blocco per il periodo specificato.

   • Eseguire l'operazione il prima possibile dopo l'approvazione: se la richiesta di modifica viene approvata, il flusso di lavoro del runbook viene eseguito non appena è presente un periodo non limitato in cui è possibile apportare modifiche.

10. Nella sezione Requests (Richieste), procedere come segue:

    1. Se si visualizzano opzioni per il tip approvazione, scegliere una delle seguenti opzioni:

       • Approvazione automatica: il modello di modifica selezionato è configurato per consentire l'esecuzione automatica delle richieste di modifica senza revisione da parte di alcun approvatore. Continua alla fase 11.

         Nota

         Le autorizzazioni specificate nelle policy IAM che regolano l'utilizzo di Systems Manager non devono limitare l'invio di richieste di modifica di approvazione automatica per consentirne l'esecuzione automatica.

       • Specificare gli approvatori: è necessario aggiungere uno o più utenti, gruppi o ruoli IAM per esaminare e approvare questa richiesta di modifica.

         Nota

         È possibile scegliere di specificare i revisori anche se le autorizzazioni specificate nei criteri IAM che regolano l'utilizzo di Systems Manager consentono di eseguire richieste di modifica dell'approvazione automatica.

    2. Scegli Aggiungi approvatore, quindi seleziona uno o più utenti, gruppi o ruoli AWS Identity and Access Management (IAM) dagli elenchi dei revisori disponibili.

       Nota

       È possibile che siano già stati specificati uno o più approvatori. Ciò significa che gli approvatori obbligatori sono già specificati nel modello di modifica selezionato. Non è possibile rimuovere questi approvatori dalla richiesta. Se il pulsante Aggiungi approvatore non è disponibile, il modello scelto non consente l'aggiunta di revisori aggiuntivi alle richieste.

       Per informazioni sull'approvazione delle richieste di modifica, consulta la pagina Informazioni sulle approvazioni delle richieste di modifica.

    3. In Argomento SNS per notificare agli approvatori, scegli una delle seguenti opzioni per specificare l'argomento Amazon SNS nel tuo account da utilizzare per inviare notifiche agli approvatori che stai aggiungendo a questa richiesta di modifica.

       Nota

       Se l'opzione per specificare un argomento Amazon SNS non è disponibile, il modello di modifica selezionato specifica già l'argomento SNS di Amazon da utilizzare.

       • Inserisci un SNS Amazon Resource Name (ARN) – Per argomento ARN immetti l'ARN di un argomento Amazon SNS esistente. Questo argomento può essere incluso in qualsiasi account dell'organizzazione.

       • Selezionare un argomento SNS esistente— Per l'Argomento notifica destinazione, seleziona l'ARN di un argomento Amazon SNS esistente nel tuo account corrente. (Questa opzione non è disponibile se non hai ancora creato alcun argomento di Amazon SNS nella versione attuale Account AWS ). Regione AWS

       Nota

       L'argomento Amazon SNS selezionato deve essere configurato in modo da specificare le notifiche inviate e gli abbonati a cui vengono inviati. La sua policy di accesso deve inoltre concedere autorizzazioni a Systems Manager in modo che Change Manager può inviare notifiche. Per informazioni, consulta Configurazione degli argomenti Amazon SNS per le notifiche Change Manager.

    4. Scegliere Add notification (Aggiungi notifica).

11. Seleziona Successivo.

12. Per il Ruolo IAM seleziona un ruolo IAM nel tuo account corrente che dispone delle autorizzazioni necessarie per eseguire i runbook specificati per questa richiesta di modifica.

    Questo ruolo viene anche definito ruolo di servizio, o assumere ruolo, per l'automazione. Per ulteriori informazioni su questo ruolo, consulta Configurazione del servizio di automazione.

13. Nella Posizione di distribuzione scegliere una delle seguenti opzioni:

    Nota

    Se lo utilizzi Change Manager con un Account AWS solo utente e non con un'organizzazione configurata in AWS Organizations, non è necessario specificare una posizione di distribuzione.

    • Applica modifiche a questo account: il flusso di lavoro del runbook viene eseguito solo nell'account corrente. Per un'organizzazione, questo è l'account amministratore delegato.

    • Applica modifiche a più unità organizzative (OUs)— Procedere nel modo seguente:

      1. PerAccount e unità organizzative (OUs), immettere l'ID di un account membro nella propria organizzazione, nel formato123456789012, o l'ID di un'unità organizzativa, nel formatoo-o96EXAMPLE.

      2. (Facoltativo) Per Nome del ruolo di esecuzione, immettere il nome del ruolo IAM nell'account di destinazioneo unità organizzativa che dispone delle autorizzazioni necessarie per eseguire i runbook specificati per questa richiesta di modifica. Tutti gli account in qualsiasi unità organizzativa specificata devono utilizzare lo stesso nome per questo ruolo.

      3. (Facoltativo) Scegli Aggiungi un'altra posizione di destinazione per ogni account aggiuntivo o unità organizzativa che si desidera specificare e ripetere i passaggi a e b.

      4. Per Target Regione AWS, seleziona la regione in cui apportare la modifica, ad esempio Ohio (us-east-2) per la regione Stati Uniti orientali (Ohio).

      5. Espandee Rate control (Controllo velocità).

         Per Concorrenza, immettere un numero, quindi dall'elenco selezionare se rappresenta il numero o la percentuale di account in cui è possibile eseguire contemporaneamente il flusso di lavoro del runbook.

         Per Soglia errore, immettere un numero, quindi dall'elenco selezionare se rappresenta il numero o la percentuale di account in cui il flusso di lavoro del runbook può avere esito negativo prima che l'operazione venga arrestata.

14. In Obiettivi di distribuzione, procedi come indicato di seguito:

    1. Seleziona una delle seguenti opzioni:

       • Singola risorsa— La modifica deve essere apportata per una sola risorsa. Ad esempio, un singolo nodo o una singola Amazon Machine Image (AMI), a seconda dell'operazione definita nei runbook per questa richiesta di modifica.

       • Più risorse— Per Parametro, selezionare uno dei parametri disponibili dai runbook per questa richiesta di modifica. Questa selezione riflette il tipo di risorsa da aggiornare.

         Ad esempio, se il runbook per questa richiesta di modifica è AWS-RetartEC2Instance è possibile scegliere InstanceId, quindi definire le istanze da aggiornare selezionando una delle seguenti opzioni:

         • Specificare tag: immettere una coppia chiave-valore con cui tutte le risorse da aggiornare sono contrassegnate.

         • Scelta di un gruppo di risorse— Scegliere il nome del gruppo di risorse a cui appartengono tutte le risorse da aggiornare.

         • Specificare i valori dei parametri— Identificare le risorse da aggiornare nella sezione Parametri Runbook.

         • Approvazioni come target – apporta la modifica su tutti i nodi gestiti nei percorsi di destinazione.

    2. Se hai scelto Più risorse, espandi Rate control (Controllo velocità).

       Per Concorrenza, immettere un numero, quindi dall'elenco selezionare se rappresenta il numero o la percentuale di destinazioni che il flusso di lavoro del runbook può aggiornare contemporaneamente.

       Per Soglia errore, immettere un numero, quindi dall'elenco selezionare se rappresenta il numero o la percentuale di destinazioni in cui l'aggiornamento può avere esito negativo prima dell'interruzione dell'operazione.

15. Se hai scelto Specificare i valori dei parametri per aggiornare più risorse nel passaggio precedente: nella sezione Parametri Runbook specificare i valori per i parametri di input obbligatori. I valori dei parametri che è necessario fornire si basano sul contenuto dei runbook di automazione associati al modello di modifica scelto.

    Ad esempio, se il modello di modifica utilizza il AWS-RetartEC2Instance runbook, è necessario inserire uno o più ID di istanza per il InstanceIdparametro. In alternativa, scegliere Mostra selettore istanza interattivo e selezionare le istanze disponibili una per una.

16. Seleziona Successivo.

17. Nella pagina Esaminare e inviare, controllare due volte le risorse e le opzioni specificate per questa richiesta di modifica.

    Selezionare Modificare per qualsiasi sezione a cui vuoi apportare modifiche.

    Quando si è soddisfatti dei dettagli della richiesta di modifica, selezionare Invio per approvazione.

Se un argomento Amazon SNS è stato specificato nel modello di modifica scelto per la richiesta, le notifiche vengono inviate quando la richiesta viene rifiutata o approvata. Se non ricevi notifiche per la richiesta, puoi tornare a Change Manager per verificare lo stato della richiesta.

Creazione di richieste di modifica (AWS CLI)

È possibile creare una richiesta di modifica utilizzando il AWS Command Line Interface comando (AWS CLI) specificando opzioni e parametri per la richiesta di modifica in un file JSON e utilizzando l'--cli-input-jsonopzione per includerla nel comando.

Per creare una richiesta di modifica (AWS CLI)

1. Installa e configura il AWS CLI o il AWS Tools for PowerShell, se non l'hai già fatto.

   Per informazioni, consulta le pagine Installazione o aggiornamento della versione più recente di AWS CLI e Installazione di AWS Tools for PowerShell.

2. Sul computer locale creare un file JSON denominato ad esempio MyChangeRequest.json, quindi incollarvi i seguenti contenuti.

   Replace (Sostituisci) i segnaposto con i valori per la tua richiesta di modifica.

   Nota

   Questo JSON di esempio crea una richiesta di modifica utilizzando il modello di modifica AWS-HelloWorldChangeTemplate e il runbook AWS-HelloWorld. Per adattare questo esempio alle tue richieste di modifica, consulta StartChangeRequestExecution nella Documentazione di riferimento all'API AWS Systems Manager per informazioni su tutti i parametri disponibili

   Per informazioni sull'approvazione delle richieste di modifica, consulta la pagina Informazioni sulle approvazioni delle richieste di modifica.

   {
       "ChangeRequestName": "MyChangeRequest",
       "DocumentName": "AWS-HelloWorldChangeTemplate",
       "DocumentVersion": "$DEFAULT",
       "ScheduledTime": "2021-12-30T03:00:00",
       "ScheduledEndTime": "2021-12-30T03:05:00",
       "Tags": [
           {
               "Key": "Purpose",
               "Value": "Testing"
           }
       ],
       "Parameters": {
           "Approver": [
               "JohnDoe"
           ],
           "ApproverType": [
               "IamUser"
           ],
           "ApproverSnsTopicArn": [
               "arn:aws:sns:us-east-2:123456789012:MyNotificationTopic"
           ]
       },
       "Runbooks": [
           {
               "DocumentName": "AWS-HelloWorld",
               "DocumentVersion": "1",
               "MaxConcurrency": "1",
               "MaxErrors": "1",
               "Parameters": {
                   "AutomationAssumeRole": [
                       "arn:aws:iam::123456789012:role/MyChangeManagerAssumeRole"
                   ]
               }
           }
       ],
       "ChangeDetails": "### Document Name: HelloWorldChangeTemplate\n\n## What does this document do?\nThis change template demonstrates the feature set available for creating change templates for Change Manager. This template starts a Runbook workflow for the Automation document called AWS-HelloWorld.\n\n## Input Parameters\n* ApproverSnsTopicArn: (Required) Amazon Simple Notification Service ARN for approvers.\n* Approver: (Required) The name of the approver to send this request to.\n* ApproverType: (Required) The type of reviewer.\n  * Allowed Values: IamUser, IamGroup, IamRole, SSOGroup, SSOUser\n\n## Output Parameters\nThis document has no outputs \n"
   }

3. Nella directory in cui è stato creato il file JSON, eseguire il comando seguente.

   aws ssm start-change-request-execution --cli-input-json file://MyChangeRequest.json

   Il sistema restituisce informazioni simili alle seguenti.

   {
       "AutomationExecutionId": "b3c1357a-5756-4839-8617-2d2a4EXAMPLE"
   }