自動承認のランブックワークフローへのアクセスを制御する

組織またはアカウント用に作成された各変更テンプレートでは、そのテンプレートから作成された変更リクエストを自動承認済変更リクエストとして実行できるかどうかを指定できます。つまり、レビューステップなしで自動的に実行できます (変更凍結イベントを除く)。

ただし、特定のユーザー、グループ、または AWS Identity and Access Management (IAM) ロールは、変更テンプレートで許可されている場合でも、自動承認の変更リクエストを実行しないようにした方がいいかもしれません。これを行うには、ユーザー、グループ、または IAM ロールに割り当てられる IAM ポリシーで、StartChangeRequestExecution オペレーションの ssm:AutoApprove 条件キーを使用します。

次のポリシーをインラインポリシーとして追加できます。このポリシーでは、条件を false に指定し、ユーザーが自動承認可能な変更リクエストを実行できないようにします。

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Allow",
            "Action": "ssm:StartChangeRequestExecution",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "ssm:AutoApprove": "false"
                }
            }
        }
    ]
}

インラインポリシーの指定の詳細については、IAM ユーザーガイドで「インラインポリシー」と「IAM ID のアクセス許可の追加および削除」を参照してください。

Systems Manager ポリシーの条件キーの詳細については、「Condition keys for Systems Manager」(Systems Manager の条件キー) を参照してください。