• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration des rôles et des autorisations pour Change Manager
<a name="change-manager-permissions"></a>

**Change Managerchangement de disponibilité**  
AWS Systems ManagerChange Managerne sera plus ouvert aux nouveaux clients à compter du 7 novembre 2025. Si vous souhaitez l'utiliserChange Manager, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez [AWS Systems ManagerChange Managerla section Modification de la disponibilité](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Par défaut, Change Manager ne dispose pas d’autorisation pour effectuer des actions sur vos instances. Vous devez accorder l'accès en utilisant un rôle de service Gestion des identités et des accès AWS (IAM) ou en *assumant un rôle*. Ce rôle permet à Change Manager d’exécuter en toute sécurité les flux de travail du Runbook spécifiés dans une demande de modification approuvée en votre nom. Le rôle accorde la [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)confiance à AWS Security Token Service (AWS STS)Change Manager.

En accordant ces autorisations à un rôle pour agir au nom des utilisateurs d'une organisation, les utilisateurs n'ont pas besoin de se voir accorder eux-mêmes ce tableau d'autorisations. Les actions permises par les autorisations se limitent uniquement aux opérations approuvées.

Lorsque les utilisateurs de votre compte ou de votre organisation créent une demande de modification, ceux-ci peuvent sélectionner ce rôle de responsable pour effectuer les opérations de modification.

Vous pouvez créer un nouveau rôle de responsable pour Change Manager ou mettre à jour un rôle existant avec les autorisations nécessaires.

Si vous avez besoin de créer une fonction du service pour Change Manager, exécutez les tâches suivantes. 

**Topics**
+ [

## Tâche 1 : Création d'une politique de rôle de responsable pour Change Manager
](#change-manager-role-policy)
+ [

## Tâche 2 : Création d'une politique de rôle de responsable pour Change Manager
](#change-manager-role)
+ [

## Tâche 3 : Attacher la politique `iam:PassRole` à d'autres rôles
](#change-manager-passpolicy)
+ [

## Tâche 4 : Ajouter des politiques intégrées à un rôle d'assume pour invoquer d'autres Services AWS
](#change-manager-role-add-inline-policy)
+ [

## Tâche 5 : Configuration de l'accès utilisateur à Change Manager
](#change-manager-passrole)

## Tâche 1 : Création d'une politique de rôle de responsable pour Change Manager
<a name="change-manager-role-policy"></a>

Suivez la procédure suivante pour créer la politique que vous attacherez à votre rôle de responsable Change Manager.

**Pour créer une politique de rôle de responsabilité pour Change Manager**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le volet de navigation, choisissez **Policies**, puis **Create Policy**.

1. Dans la page **Create policy** (Créer une politique), choisissez l’onglet **JSON** et remplacez le contenu par défaut par le contenu suivant que vous modifierez pour vos opérations Change Manager au bout des étapes suivantes.
**Note**  
Si vous créez une politique à utiliser avec un seul compte Compte AWS, et non avec une organisation possédant plusieurs comptes Régions AWS, vous pouvez omettre le premier bloc de relevés. L'autorisation `iam:PassRole` n'est pas requise pour le cas d’un compte unique utilisant Change Manager.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "iam:PassRole",
               "Resource": "arn:aws:iam::111122223333:role/AWS-SystemsManager-job-functionAdministrationRole",
               "Condition": {
                   "StringEquals": {
                       "iam:PassedToService": "ssm.amazonaws.com"
                   }
               }
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:DescribeDocument",
                   "ssm:GetDocument",
                   "ssm:StartChangeRequestExecution"
               ],
               "Resource": [
                   "arn:aws:ssm:us-east-1::document/template-name",
                   "arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:ListOpsItemEvents",
                   "ssm:GetOpsItem",
                   "ssm:ListDocuments",
                   "ssm:DescribeOpsItems"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Pour l'`iam:PassRole`action, mettez à jour la `Resource` valeur pour inclure toutes les fonctions ARNs de travail définies pour votre organisation auxquelles vous souhaitez accorder l'autorisation de lancer des flux de travail Runbook.

1. Remplacez les *job-function* balises *region**account-id*,*template-name*,*delegated-admin-account-id*, et par des valeurs correspondant à vos Change Manager opérations.

1. Pour la seconde `Resource`, modifiez la liste pour inclure tous les modèles de modification pour lesquels vous souhaitez accorder des autorisations. Sinon, indiquez `"Resource": "*"` pour accorder des autorisations pour tous les modèles de modification de votre organisation.

1. Choisissez **Suivant : Balises**.

1. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur d'identification afin d'organiser, de suivre ou de contrôler l'accès pour cette politique. 

1. Choisissez **Suivant : Vérification**.

1. Dans la page **Review policy** (Vérification de la politique), saisissez un nom dans la zone **Name** (Nom), tel que **MyChangeManagerAssumeRole**, puis saisissez une description facultative.

1. Choisissez **Create policy** (Créer une politique), et continuez vers [Tâche 2 : Création d'une politique de rôle de responsable pour Change Manager](#change-manager-role).

## Tâche 2 : Création d'une politique de rôle de responsable pour Change Manager
<a name="change-manager-role"></a>

Suivez la procédure suivante pour créer un rôle de responsable Change Manager, une sorte de fonction du service pour Change Manager.

**Pour créer un rôle d'assumer pour Change Manager**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.

1. Pour **Select trusted entity** (Sélectionner une entité de confiance), effectuez les choix suivants :

   1. Pour **Type d'entité de confiance**, choisissez **Service AWS **

   1. Pour les **cas d'utilisation pour les autres Services AWS**, choisissez **Systems Manager**

   1. Choisissez **Systems Manager**, comme illustré dans l'image suivante.  
![\[Capture d'écran illustrant l'option Systems Manager sélectionnée comme cas d'utilisation.\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)

1. Choisissez **Suivant**.

1. Dans la page **Attached permissions policy** (¨Politique d'autorisations attachées), recherchez la politique de rôle de responsable que vous avez créée dans[Tâche 1 : Création d'une politique de rôle de responsable pour Change Manager](#change-manager-role-policy), comme **MyChangeManagerAssumeRole**. 

1. Cochez la case cà côté du nom de la politique de rôle de responsable, puis choisissez **Next: Tags** (Suivant : balises).

1. Pour **Role name** (Nom du rôle), saisissez un nom pour votre nouveau profil d'instance, par exemple **MyChangeManagerAssumeRole**.

1. (Facultatif) Pour **Description**, saisissez une description pour ce role d'instance.

1. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur d'identification afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle. 

1. Choisissez **Suivant : Vérification**.

1. (Facultatif) Pour **Tags** (Balises), ajoutez une ou plusieurs paires clé-valeur d'identification afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis sélectionnez **Create role** (Créer le rôle). Le système vous renvoie à la page **Rôles**.

1. Sélectionnez **Créer un rôle**. Le système vous renvoie à la page **Rôles**.

1. Sur la page **Rôles**, sélectionnez le rôle que vous venez de créer pour ouvrir la page **Récapitulatif**. 

## Tâche 3 : Attacher la politique `iam:PassRole` à d'autres rôles
<a name="change-manager-passpolicy"></a>

Procédez comme suit pour attacher la politique `iam:PassRole` à un profil d'instance IAM ou à une fonction du service IAM. (Le service Systems Manager utilise des profils d'instance IAM pour communiquer avec les instances EC2. Pour les nœuds gérés non EC2 dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types), une fonction du service IAM est utilisée à la place.)

En attachant la politique `iam:PassRole`, le service Change Manager peut transmettre des autorisations de rôle à d’autres services ou outils Systems Manager lors de l’exécution des flux de travail de dossier d’exploitation.

**Pour attacher la politique `iam:PassRole` à un profil d'instance ou une fonction du service IAM**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**.

1. Recherchez le rôle de responsable Change Manager que vous avez créé, comme **MyChangeManagerAssumeRole** et définissez son nom.

1. Dans la page **Summary** (Résumé) du rôle de responsable, sélectionnez l'onglet **Autorisations**.

1. Choisissez **Add permissions, Create inline policy** (Ajouter des autorisations, Créer une politique en ligne).

1. Dans la page **Créer une politique**, sélectionnez l'onglet **Éditeur visuel**.

1. Sélectionnez **Service**, puis sélectionnez **IAM**.

1. Dans la zone de texte **Actions de filtrage****PassRole**, entrez, puis choisissez l'**PassRole**option.

1. Développer les **Ressources**. Vérifiez que **Spécifique** est sélectionné, puis sélectionnez **Add ARN** (Ajouter l'ARN).

1. Dans le champ **Specify ARN for role** (Spécifier l'ARN du rôle), saisissez l'ARN du rôle de profil d'instance IAM ou celui de la fonction du service IAM auquel vous souhaitez transmettre les autorisations de rôle de responsable. Le système remplit automatiquement les champs **Compte** et **Role name with path (Nom du rôle avec chemin d'accès)**. 

1. Choisissez **Ajouter**.

1. Sélectionnez **Review policy (Examiner une politique)**.

1. Pour **Name** (Nom), entrez un nom pour identifier cette politique, puis choisissez **Create policy** (Créer une politique).

**Plus d'informations**  
+ [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md)
+ [Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud](hybrid-multicloud-service-role.md)

## Tâche 4 : Ajouter des politiques intégrées à un rôle d'assume pour invoquer d'autres Services AWS
<a name="change-manager-role-add-inline-policy"></a>

Lorsqu'une demande de modification invoque d'autres services en Services AWS utilisant le rôle d'Change Managerassumer, le rôle d'assumer doit être configuré avec l'autorisation d'invoquer ces services. Cette exigence s'applique à tous les runbooks AWS Automation (runbooks AWS-\$1) susceptibles d'être utilisés dans une demande de modification, tels que les runbooks et les `AWS-ConfigureS3BucketLogging` runbooks. `AWS-CreateDynamoDBBackup` `AWS-RestartEC2Instance` Cette exigence s'applique également à tous les runbooks personnalisés que vous créez et qui invoquent d'autres services Services AWS en utilisant des actions qui appellent d'autres services. Par exemple, si vous exécutez les actions `aws:executeAwsApi`, `aws:CreateStack` ou `aws:copyImage`, vous devez configurer la fonction du service avec l'autorisation de faire appel à ces services. Vous pouvez accorder des autorisations à d'autres Services AWS en ajoutant une politique IAM en ligne au rôle. 

**Pour ajouter une politique intégrée à un rôle d'assumer afin d'en invoquer un autre Services AWS (console IAM)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Rôles**.

1. Dans la liste, définissez le nom du rôle de responsable que vous souhaitez mettre à jour, par exemple `MyChangeManagerAssumeRole`.

1. Choisissez l'onglet **Permissions** (Autorisations).

1. Choisissez **Add permissions, Create inline policy** (Ajouter des autorisations, Créer une politique en ligne).

1. Sélectionnez l'onglet **JSON**.

1. Entrez un document de politique JSON pour le que Services AWS vous souhaitez invoquer. Voici deux exemples de document de stratégie JSON.

   **Amazon S3`PutObject` et `GetObject` exemple**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject",
                   "s3:GetObject"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
           }
       ]
   }
   ```

------

   **Amazon EC2`CreateSnapshot` et `DescribeSnapShots` exemple**

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Effect":"Allow",
            "Action":"ec2:CreateSnapshot",
            "Resource":"*"
         },
         {
            "Effect":"Allow",
            "Action":"ec2:DescribeSnapshots",
            "Resource":"*"
         }
      ]
   }
   ```

------

    Afin d’obtenir des informations approfondies sur la terminologie IAM, consultez la [Référence de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l'utilisateur IAM*.

1. Lorsque vous avez terminé, sélectionnez **Review policy (Examiner une politique)**. Le programme de [validation de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) signale les éventuelles erreurs de syntaxe.

1. Pour **Name** (Nom), saisissez un nom pour identifier la politique que vous créez. Vérifiez le **récapitulatif** de politique pour voir les autorisations accordées par votre politique. Sélectionnez ensuite **Créer une politique** pour enregistrer votre travail.

1. Une fois que vous avez créé une politique en ligne, elle est automatiquement intégrée à votre rôle.

## Tâche 5 : Configuration de l'accès utilisateur à Change Manager
<a name="change-manager-passrole"></a>

Si votre utilisateur, votre groupe ou votre rôle dispose des autorisations d'administrateur, vous avez accès à Change Manager. Si vous ne disposez pas des autorisations d'administrateur, alors un administrateur doit vous assigner la politique gérée `AmazonSSMFullAccess` ou une politique octroyant des d'autorisations similaires à votre utilisateur, groupe ou rôle.

Suivez la procédure suivante afin de configurer un utilisateur pour utiliser Change Manager. L'utilisateur que vous sélectionnez aura l'autorisation de configurer et d'exécuter Change Manager. 

En fonction de l'application d'identité que vous utilisez dans votre organisation, vous pouvez sélectionner l'une des trois options disponibles pour configurer l'accès des utilisateurs. Lors de la configuration de l'accès utilisateur, attribuez ou ajoutez les éléments suivants : 

1. Attribuez la politique `AmazonSSMFullAccess` ou une politique comparable qui autorise l'accès à Systems Manager.

1. Attribuez la politique `iam:PassRole`.

1. Ajoutez l'ARN du rôle de responsable Change Manager que vous avez copié à la fin de [Tâche 2 : Création d'une politique de rôle de responsable pour Change Manager](#change-manager-role).

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :

  Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :

  Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
  + Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
  + (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d'autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l'utilisateur IAM*.

Vous en avez terminer avec la configuration des rôles requis pour Change Manager. Vous pouvez désormais utiliser l’ARN du rôle de responsabilité Change Manager dans vos opérations Change Manager.