Change Managerオプションとベストプラクティスの設定
このセクションのタスクは、組織全体で使用するか、1 つの AWS アカウント で使用するかにかかわらず、AWS Systems Manager の一機能である Change Manager を実行する必要があります。
組織で Change Manager を使用する場合は、委任管理者アカウント、または Change Manager での使用のために有効化した組織単位内の任意のアカウントで以下のタスクを実行することができます。
トピック
タスク 1: Change Managerユーザー ID 管理とテンプレートレビューワーの設定
この手順のタスクは、Change Managerに初めてにアクセスするときに実行します。これらの設定は、Change Manager に戻り [Settings] (設定) タブの [Edit] (編集) を選択することで、後ほど更新できます。
Change Managerユーザー ID 管理とテンプレートレビューワーを設定する
-
AWS Management Consoleにサインインします。
組織のために Change Manager を使用している場合は、委任管理者アカウントの認証情報を使用してサインインします。ユーザーには、Change Manager 設定を更新するための AWS Identity and Access Management (IAM) アクセス許可が必要です。
AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/
) を開きます。 ナビゲーションペインで、[Change Manager] を選択します。
-
サービスのホームページで、使用可能なオプションに応じて、次のいずれかを実行します。
-
AWS Organizations で Change Manager を使用する場合は、[Set up delegated account] (委任アカウントをセットアップする) をクリックします。
-
Change Manager を単一の AWS アカウント で使用する場合は、[Change Manager のセットアップ] をクリックします。
-または-
サンプル変更リクエストの作成、[Skip] を選択し、[設定] タブに進みます。
-
-
[User identity management] (ユーザー ID 管理) には、次のいずれかを選択します。
-
AWS Identity and Access Management (IAM) – 既存のユーザー、グループ、ロールを使用して、Change Manager でリクエストの作成と承認、その他のアクションを実行するユーザーを識別します。
-
AWS IAM Identity Center (IAM Identity Center) – IAM Identity Center でアイデンティティの作成と管理を行うか、既存のアイデンティティソースに接続して、Change Manager でアクションを実行するユーザーを識別することができます。
-
-
[Template reviewer notification] (テンプレートレビューワーの通知) セクションで、新しい 変更テンプレートまたは変更テンプレートバージョンをレビューする準備が整ったことをテンプレートレビューワーに通知するために使用する Amazon Simple Notification Service (Amazon SNS) トピックを指定します。選択する Amazon SNS トピックが、テンプレートレビューワーに通知を送信するように設定されていることを確認します。
変更テンプレートのレビューワーに通知するための Amazon SNS トピックの作成と設定については、「Change Manager 通知用の Amazon SNS トピックの設定」を参照してください。
-
テンプレートレビューワー通知の Amazon SNS トピックを指定するには、以下のいずれかを選択します。
-
Enter an SNS Amazon Resource Name (ARN)(SNS Amazon リソースネーム (ARN) を入力) – [Topic ARN (トピック ARN) には、既存の Amazon SNS トピックの ARN を入力します。このトピックは、組織のどのアカウントのものでも使用できます。
-
Select an existing SNS topic (既存の SNS トピックを選択) – [Target notification topic] (ターゲット通知トピック) には、現在 AWS アカウント にある既存の Amazon SNS トピックの ARN を選択します。(このオプションは、現在の AWS アカウント と AWS リージョン で Amazon SNS トピックをまだ作成していない場合は使用できません)。
注記
選択する Amazon SNS トピックは、送信する通知とその送信先のサブスクライバーを指定するように設定されている必要があります。Amazon SNアクセスポリシーは、Change Manager が通知を送信できるように、Systems Manager にアクセス許可も付与する必要があります。詳細については、Change Manager 通知用の Amazon SNS トピックの設定 を参照してください。
-
-
[Add notification] (通知を追加) をクリックします。
-
-
[Change template reviewers] (変更テンプレートレビューワー) セクションで、運用での使用に先立って新しい変更テンプレートまたは変更テンプレートバージョンをレビューする、組織またはアカウント内のユーザーを選択します。
変更テンプレートレビューワーは、他のユーザーが Change Manager ランブックワークフローでの使用のために提出したテンプレートの適合性とセキュリティを検証する責任を担います。
次の手順を実行して、変更テンプレートのレビューワーを選択します。
-
[Add] (追加) をクリックします。
-
変更テンプレートレビューワーとして割り当てる各ユーザー、グループ、または IAM ロールの名前の横にあるチェックボックスをオンにします。
-
[Add approvers] (承認者を追加) をクリックします。
-
-
[Submit] (送信) をクリックします。
この初期セットアッププロセスを完了したら、タスク 2: Change Manager 変更凍結イベント承認者とベストプラクティスの設定 にあるステップに従って、追加のChange Manager設定とベストプラクティスの設定を行います。
タスク 2: Change Manager 変更凍結イベント承認者とベストプラクティスの設定
タスク 1: Change Managerユーザー ID 管理とテンプレートレビューワーの設定 のステップを完了したら、変更凍結イベント 時の変更リクエストを処理する追加のレビューワーを指定し、Change Manager 操作に対して有効化する利用可能なベストプラクティスを指定できます。
変更凍結イベントとは、現在の変更カレンダーに制限が設定されていることを意味します (AWS Systems Manager Change Calendarのカレンダー状態は CLOSED です)。このような場合、変更リクエストを処理する通常の承認者に加えて、または、自動承認が可能なテンプレートを使用して変更リクエストを作成する場合、変更凍結承認者もこの変更リクエストを実行するためのアクセス許可を付与する必要があります。許可が付与されなければ、カレンダーの状態が再度 OPEN になるまで変更は処理されません。
Change Managerの変更凍結イベント承認者とベストプラクティスを設定する
ナビゲーションペインで、Change Manager を選択します。
-
[Settings] (設定) タブを選択し、[Edit] (編集) をクリックします。
-
[Approvers for change freeze events] (変更凍結イベントの承認者) セクションで、Change Calendarで使用されているカレンダーが CLOSED 状態の場合でも変更の実行を承認できる、組織またはアカウント内のユーザーを選択します。
注記
変更凍結レビューを有効にするには、[Best practices] (ベストプラクティス) にある [Check Change Calendar for restricted change events] (制限された変更イベントについて変更カレンダーをチェックする) オプションを有効にする必要があります。
以下を実行して変更凍結イベントの承認者を選択します。
-
[Add] (追加) をクリックします。
-
変更凍結イベントの承認者として割り当てる各ユーザー、グループ、または IAM ロールの名前の横にあるチェックボックスをオンにします。
-
[Add approvers] (承認者を追加) をクリックします。
-
-
ページの下部にある [Best practices] (ベストプラクティス) セクションで、以下の各オプションに実施するベストプラクティスを有効にします。
-
オプション: [Check Change Calendar for restricted change events] (制限された変更イベントについて変更カレンダーをチェックする)
Change Manager が、スケジュールされたイベントによって変更がブロックされていないことを確認するためにChange Calendarのカレンダーをチェックすることを指定するには、まず [Enabled] (有効) チェックボックスをオンにしてから、[Change Calendar] (変更カレンダー) リストから制限されたイベントをチェックするカレンダーを選択します。
Change Calendar の詳細については、「AWS Systems Manager Change Calendar」を参照してください。
-
オプション: [SNS topic for approvers for closed events] (クローズドイベントの承認者のための SNS トピック)
-
以下のいずれかを選択して、アカウント内の Amazon Simple Notification Service (Amazon SNS) トピックを指定します。これは、変更凍結イベント中に、承認者に通知を送信するために使用されます。([Best practices] (ベストプラクティス) の上にある [Approvers for change freeze events] (変更凍結イベントの承認者) セクションでも承認者を指定する必要があることに注意してください。)
-
Enter an SNS Amazon Resource Name (ARN)(SNS Amazon リソースネーム (ARN) を入力) – [Topic ARN (トピック ARN) には、既存の Amazon SNS トピックの ARN を入力します。このトピックは、組織のどのアカウントのものでも使用できます。
-
Select an existing SNS topic (既存の SNS トピックを選択) – [Target notification topic] (ターゲット通知トピック) には、現在 AWS アカウント にある既存の Amazon SNS トピックの ARN を選択します。(このオプションは、現在の AWS アカウント と AWS リージョン で Amazon SNS トピックをまだ作成していない場合は使用できません)。
注記
選択する Amazon SNS トピックは、送信する通知とその送信先のサブスクライバーを指定するように設定されている必要があります。Amazon SNアクセスポリシーは、Change Manager が通知を送信できるように、Systems Manager にアクセス許可も付与する必要があります。詳細については、Change Manager 通知用の Amazon SNS トピックの設定 を参照してください。
-
-
[Add notification] (通知を追加) をクリックします。
-
-
オプション: [Require monitors for all templates] (すべてのテンプレートにモニタリングを義務付ける)
組織またはアカウントのすべてのテンプレートに変更操作を監視するための Amazon CloudWatch アラームが指定されていることを確実にしたい場合は、[Enabled] (有効) チェックボックスをオンにします。
-
オプション: [Require template review and approval before use] (使用前のテンプレートのレビューと承認を義務付ける)
レビューと承認が完了したテンプレートに基づかずに変更リクエストが作成されたり、ランブックワークフローが実行されたりするこがないようにするには、[Enabled] (有効) チェックボックスをオンにします。
-
-
[Save] を選択します。
