AWS Systems Manager Change Manager - AWS Systems Manager
Change Manager 的運作方式Change Manager 對我的營運有何好處?誰應該使用Change Manager?Change Manager有哪些主要功能?使用 Change Manager 需要付費嗎?什麼是 Change Manager 的主要元件?

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Systems Manager Change Manager

Change Manager (AWS Systems Manager 的功能) 是一個企業變更管理架構,用於請求、核准、實作和報告應用程式組態和基礎設施的操作變更。如果您使用 AWS Organizations,可從單一的委派管理員帳戶中管理多個 AWS 帳戶 和多個 AWS 區域 的變更。或使用本機帳戶,您可以管理單一 AWS 帳戶 的變更。使用 Change Manager 來管理 AWS 資源和內部部署資源的變更。若要開始使用 Change Manager,請開啟 Systems Manager 主控台。在導覽窗格中,選擇 Change Manager

透過 Change Manager,您可以使用預先核准的變更範本,協助自動化資源的變更程序,並協助避免在進行操作變更時的意外結果。每個變更範本可指定下列項目:

  • 建立變更請求時,可供使用者選擇的一個或多個 Automation Runbook。對資源所做的變更會在 Automation Runbook 中進行定義。您可以在您建立的變更範本中包含自訂 Runbook 或 AWS 受管 Runbook。當使用者建立變更請求時,他們可以選擇要在請求中包含哪一個可用 Runbook。此外,您可以建立變更範本,讓提出請求的使用者指定變更請求中的任何 Runbook。

  • 帳戶中使用者,必須檢閱使用該變更範本提出的變更請求。

  • Amazon Simple Notification Service (Amazon SNS) 主題,用於通知指派的核准者變更請求已準備好進行審核。

  • Amazon CloudWatch 警示,用於監控 Runbook 工作流程。

  • Amazon SNS 主題,用於針對使用變更範本建立的變更請求傳送狀態變更通知。

  • 要套用至變更範本的標籤,以便用於分類和篩選變更範本。

  • 是否可以在沒有核准步驟的情況下執行從變更範本建立的變更請求 (自動核准的請求)。

透過與 Change Calendar (Systems Manager 的另一個功能) 整合,Change Manager 也可協助您安全地實作變更,同時避免排程與重要業務事件發生衝突。Change Manager 與 AWS Organizations 和 AWS IAM Identity Center 整合,可協助您使用現有的身分識別管理系統,從單一帳戶管理整個組織的變更。您可以從 Change Manager 監控變更進度和稽核整個組織的操作變更,提供更好的可見性和責任。

Change Manager 補充了您的持續整合 (CI) 實務和持續交付 (CD) 方法論的安全控制。Change Manager 不適用於作為自動發行程序 (例如 CI/CD 管道) 的所做的變更,除非有例外狀況或需要核准。

Change Manager 的運作方式

識別出標準或緊急操作變更的需求時,組織中的某個人會根據為您的組織或帳戶中建立的其中一個變更範本來建立變更請求。

如果請求的變更需要手動核准,Change Manager 會透過 Amazon SNS 通知來通知指定的核准者變更請求已準備好進行審核。您可以在變更範本中為變更請求指定核准者,或讓使用者指定變更請求本身的核准者。您可以為不同的範本指派不同的檢閱者。例如,指派一個使用者、使用者群組或 AWS Identity and Access Management (IAM) 角色,其必須核准受管節點的變更請求,以及針對資料庫變更核准其他使用者、群組或 IAM 角色。如果變更範本允許自動核准,且請求者的使用者政策未禁止此操作,則使用者也可以選擇針對其請求執行 Automation 執行手冊,而不需要檢閱步驟 (除變更凍結事件外)。

對於每個變更範本,您最多可以新增五個核准者層級。例如,您可能需要技術檢閱者先核准從變更範本中建立的變更請求,然後再請求一位或多位經理的第二層核准。

Change Manager 已與 AWS Systems Manager Change Calendar 整合。核准請求的變更後,系統會先決定請求是否與其他排定的企業活動衝突。如果偵測到衝突,Change Manager 可以封鎖變更,或在啟動 Runbook 工作流程之前需要其他核准。例如,您可能只允許在上班時間進行變更,以確保團隊可以管理任何未預期的問題。對於請求在這些時間以外執行的任何變更,您可以變更凍結核准者的形式要求更高層級的管理核准。如需緊急變更,Change Manager 可以跳過檢查 Change Calendar 的步驟,以獲得核准變更請求之後的衝突或封鎖事件。

當需要實作核准的變更時,Change Manager 會執行關聯的變更請求中指定的自動化 Runbook。執行 Runbook 工作流程時,只允許在核准的變更請求中定義的操作。這種方法有助於避免實作變更時的意外的結果。

除了限制執行 Runbook 工作流程時可以進行的變更之外,Change Manager 也可以幫助您控制並發和錯誤閾值。您可以選擇 Runbook 工作流程一次可以執行多少資源、一次可以在多少個帳戶中執行變更戶,以及在停止程序之前允許失敗和復原 (如果 Runbook 包含回復指令碼) 多少次。您也可以使用 CloudWatch 警示監控變更的進度。

Runbook 工作流程完成後,您可以檢閱所做變更的詳細資訊。這些詳細資訊包括變更請求的原因、使用的變更範本、請求和核准變更的人員,以及如何實作變更。

詳細資訊

AWS 新聞部落格介紹 AWS Systems ManagerChange Manager

Change Manager 對我的營運有何好處?

Change Manager 的優點包括:

  • 降低服務中斷和停機的風險

    Change Manager 可以確保在執行 Runbook 工作流程時,只會實作核准的變更,進而更安全地進行操作變更。您可以封鎖未計劃和未檢閱的變更。Change Manager 可協助您避免因人為錯誤造成的意外結果類型,而這些結果需要花費昂貴的時間進行研究和回溯。

  • 取得變更記錄的詳細稽核與報告

    Change Manager 提供責任制,以一致的方式報告和稽核整個組織所做的變更、變更的意圖,以及核准和實作變更的人員的詳細資訊。

  • 避免排程衝突或違規

    Change Manager 可以根據您組織的作用中變更行事曆,偵測排程衝突,例如假日事件或新產品啟動。您可以允許 Runbook 工作流程僅在上班時間執行,或只允許其他核准。

  • 根據不斷變化的業務調整變更需求

    在不同的業務期間,您可以實作不同的變更管理需求。例如,在月底報告、稅季或其他重要業務期間,您可以封鎖變更,或需要主管層級的核准才能進行可能造成不必要的營運風險的變更。

  • 集中管理不同帳戶的變更

    透過與 Organizations 整合,Change Manager 可讓您從單一委派系統管理員帳戶管理所有組織單位 (OU) 的變更。您可以開啟 Change Manager 用於整個組織,或僅搭配部分 OU 使用。

誰應該使用Change Manager?

Change Manager 適用於以下 AWS 客戶與組織:

  • 任何 AWS 客戶,希望改善對其雲端或內部部署環境作所做的操作變更的安全性和控管。

  • 想要提高團隊之間的協作和可見性的 Organizations,可藉由避免停機來改善應用程式可用性,以及降低手動和重複工作的相關風險。

  • Organizations 必須遵守變更管理的最佳實務。

  • 需要對其應用程式組態和基礎設施所做變更的完整可稽核歷程記錄的客戶。

Change Manager有哪些主要功能?

Change Manager 的主要功能如下所示:

  • 變更管理最佳實務的整合式支援

    利用 Change Manager,您可以將選取變更管理最佳實務套用至您的營運中。您可以選擇開啟以下選項:

    • 檢查 Change Calendar 以查看事件目前是否受到限制,因此只會在開啟的行事曆期間進行變更。

    • 允許在受限事件期間進行變更,並獲得變更凍結核准者的額外的核准。

    • 需要為所有變更範本指定 CloudWatch 警示。

    • 需要在您帳戶中建立的所有變更範本都經過審核和核准,才能用來建立變更請求。

  • 已關閉行事曆期間和緊急變更請求的不同核准路徑

    您可以允許選項檢查 Change Calendar 以獲悉受限制的事件,並封鎖核准的變更請求,直到事件完成為止。但是,您還可以指定第二組核准者,即變更凍結核准者,即使行事曆已關閉,他們也可以允許執行變更。您也可以建立緊急變更範本。從緊急變更範本建立的變更請求仍需要定期核准,但不受行事曆限制,也不需要變更凍結核准。

  • 控制啟動 Runbook 工作流程的方式和時間

    Runbook 工作流程可以根據排程啟動,或在核准完成後立即啟動 (受行事曆限制規則的約束)。

  • 內建通知支援

    指定組織中應檢閱和核准變更範本和變更請求的人員。將 Amazon SNS 主題指派給變更範本,以將使用該變更範本建立的變更請求狀態變更通知傳送給該主題的訂閱者。

  • 與 AWS Systems Manager Change Calendar 的整合

    Change Manager 允許管理員限制在指定時間段內的排程變更。例如,您可以建立政策,只允許在營業時間進行變更,以確保團隊能夠處理任何問題。您也可以在重要的業務事件期間限制變更。例如,零售業務可能會限制大型銷售活動期間的變更。您也可以要求在限制期間進行額外的核准。

  • 與 AWS IAM Identity Center 和 Active Directory 支援整合

    藉助 IAM Identity Center 整合,您組織的成員可以存取 AWS 帳戶,並根據一般使用者身分使用 Systems Manager 來管理其資源。使用 IAM Identity Center,您可以將使用者存取指派給 AWS 的帳戶。

    與 Active Directory 的整合可讓您將 Active Directory 帳戶中的使用者指派為核准者,以變更為您的 Change Manager 營運建立的範本。

  • 與 Amazon CloudWatch 警示的整合

    Change Manager 已與 CloudWatch 警示整合。Change Manager 會在 Runbook 工作流程期間接聽 CloudWatch 警示,並採取針對警示定義的任何動作 (包括傳送通知)。

  • 與 AWS CloudTrail Lake 整合

    透過在 AWS CloudTrail Lake 中建立事件資料存放區,您可以檢視帳戶或組織中執行的變更請求所做變更的可稽核資訊。儲存的事件資訊包括下列詳細資訊:

    • 執行的 API 動作

    • 針對這些動作包含的請求參數

    • 執行動作的使用者

    • 在此過程中更新的資源

  • 與 AWS Organizations 整合

    使用 Organizations 提供的跨帳戶功能,您可以使用委派管理員帳戶來管理您組織的 OU 中的 Change Manager 營運。在您的 Organizations 管理帳戶中,您可以指定哪個帳戶要作為委派系統管理員帳戶。您也可以控制在您的哪些 OU 中可以使用 Change Manager。

使用 Change Manager 需要付費嗎?

是。Change Manager 均按依使用量付費的方式定價。您僅需按實際用量付費。如需詳細資訊,請參閱 AWS Systems Manager 定價

什麼是 Change Manager 的主要元件?

您用來管理組織或帳戶中變更流程的 Change Manager 元件包括下列各項:

委派管理員帳戶

如果您在整個組織中使用 Change Manager,則會使用委派管理員帳戶。這是指定為管理跨 Systems Manager 操作活動的帳戶的 AWS 帳戶,包括 Change Manager。委派管理員帳戶會管理整個組織的變更活動。當您設定組織以配合 Change Manager 使用時,可以指定哪些帳號擔任此角色。委派管理員帳戶必須是指派給組織單位 (OU) 的唯一成員。如果您僅在單一 AWS 帳戶 使用 Change Manager,則不需要委派管理員帳戶。

重要

如果您在整個組織中使用 Change Manager,我們建議始終從委派管理員帳戶進行變更。雖然您可以從組織中的其他帳戶進行變更,但這些變更將不會在受委派管理員帳戶中報告,也不可在其中檢視。

變更範本

變更範本是 Change Manager 中的組態設定的集合,可定義必要核准、可用 Runbook 以及變更請求的通知選項等項目。

您可以要求組織或帳戶中的使用者建立的變更範本必須經過核准程序,才能使用。

Change Manager 支援兩種變更範本類型。對於根據緊急變更範本的已核准變更請求,即使在 Change Calendar 中有封鎖事件,也可以進行請求的變更。對於根據標準變更範本的已核准變更請求,如果 Change Calendar 中有封鎖事件,則無法進行請求的變更,除非獲得委派的變更凍結事件核准者的額外核准。

變更請求

變更請求是在 Change Manager 中執行自動化 Runbook 的請求,以便更新 AWS 或內部部署環境中的一個或多個資源。變更請求是使用變更範本建立的。

當您建立變更請求時,組織或帳戶中的一個或多個核准者必須檢閱並核准該請求。如果沒有所需的核准,則不允許執行會套用您請求的變更的 Runbook 工作流程。

在系統中,變更要求是 OpsItem 中的 AWS Systems Manager OpsCenter 類型。然而,類型 /aws/changerequest 的 OpsItems 不會在 OpsCenter 中顯示。作為 OpsItems,變更要求會受到與其他類型的 OpsItems 相同的強制性配額。

此外,若要以程式設計方式建立變更要求,您不要呼叫 CreateOpsItem API 操作。相反,您可以使用 StartChangeRequestExecution API 操作。不過,但相較於立即執行,變更請求必須獲得核准並且在 Change Calendar 中必須沒有任何會阻止工作流程執行的封鎖事件。當獲得核准且未封鎖行事曆 (或已授與略過封鎖行事曆事件的許可) 時,即能完成 StartChangeRequestExecution 動作。

Runbook 工作流程

Runbook 工作流程是指對雲端或內部部署環境中目標資源進行請求變更的程序。每個變更請求會指定單一的自動化 Runbook 來進行請求的變更。在授予所有必要的核准之後且 Change Calendar 中沒有封鎖事件,就會發生 Runbook 工作流程。如果變更已排定在特定的日期和時間,則 Runbook 工作流程會在排定之前開始,即使已收到所有核准且未封鎖行事曆。

主題