• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration de Change Manager
<a name="change-manager-setting-up"></a>

**Change Managerchangement de disponibilité**  
AWS Systems ManagerChange Managerne sera plus ouvert aux nouveaux clients à compter du 7 novembre 2025. Si vous souhaitez l'utiliserChange Manager, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez [AWS Systems ManagerChange Managerla section Modification de la disponibilité](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Vous pouvez utiliser Change Manager un outil dans AWS Systems Manager, pour gérer les modifications pour l'ensemble d'une organisation, telle que configurée dans AWS Organizations, ou pour une seule organisation Compte AWS.

Si vous utilisez Change Manager avec une organisation, commencez par la rubrique [Configuration de Change Manager pour une organisation (compte de gestion)](change-manager-organization-setup.md), puis passez à [Configuration d'options et de bonnes pratiques Change Manager](change-manager-account-setup.md).

Si vous utilisez Change Manager avec un seul compte, passez directement à [Configuration d'options et de bonnes pratiques Change Manager](change-manager-account-setup.md).

**Note**  
Si vous commencez à utiliser Change Manager avec un seul compte, mais que ce compte est ajouté par la suite à une unité d'organisation pour laquelle Change Manager est autorisé, les paramètres de votre compte unique ne sont pas pris en compte.

**Topics**
+ [

# Configuration de Change Manager pour une organisation (compte de gestion)
](change-manager-organization-setup.md)
+ [

# Configuration d'options et de bonnes pratiques Change Manager
](change-manager-account-setup.md)
+ [

# Configuration des rôles et des autorisations pour Change Manager
](change-manager-permissions.md)
+ [

# Contrôler l'accès aux flux de travail de runbook d'approbation automatique
](change-manager-auto-approval-access.md)

# Configuration de Change Manager pour une organisation (compte de gestion)
<a name="change-manager-organization-setup"></a>

**Change Managerchangement de disponibilité**  
AWS Systems ManagerChange Managerne sera plus ouvert aux nouveaux clients à compter du 7 novembre 2025. Si vous souhaitez l'utiliserChange Manager, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez [AWS Systems ManagerChange Managerla section Modification de la disponibilité](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Les tâches décrites dans cette rubrique s'appliquent si vous utilisez Change Manager un outil dans AWS Systems Manager, avec une organisation configurée dans AWS Organizations. Si vous ne souhaitez l'utiliser Change Manager qu'avec un seul Compte AWS, passez à la rubrique[Configuration d'options et de bonnes pratiques Change Manager](change-manager-account-setup.md).

Effectuez les tâches décrites dans cette section dans un compte Compte AWS qui sert de *compte de gestion* dans Organizations. Pour obtenir des informations sur le compte de gestion et d'autres concepts Organizations, veuillez consulter [Terminologie et concepts relatifs àAWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).

Si vous devez activer Organizations et spécifier votre compte en tant que compte de gestion avant de continuer, veuillez consulter [Création et gestion d'une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) dans le *Guide de l'utilisateur AWS Organizations *. 

**Note**  
Ce processus de configuration ne peut pas être effectué dans les cas suivants Régions AWS :  
Europe (Milan) (eu-south-1)
Moyen-Orient (Bahreïn) (me-south-1)
Afrique (Le Cap) (af-south-1)
Asie-Pacifique (Hong Kong) (ap-east-1)
Pour cette procédure, vérifiez que vous travaillez bien dans une région différente dans votre compte de gestion.

Durant la procédure de configuration, vous effectuez les tâches principales suivantes dans Quick Setup, un outil d’ AWS Systems Manager.
+ **Tâche 1 : enregistrer un compte administrateur délégué pour votre organisation**

  Les tâches liées aux modifications effectuées en utilisant Change Manager sont gérées dans l'un de vos comptes membres spécifié comme *compte d'administrateur délégué*. Le compte d'administrateur délégué que vous enregistrez pour Change Manager devient le compte d'administrateur délégué pour toutes vos opérations Systems Manager. (Vous avez peut-être délégué des comptes d'administrateur pour d'autres Services AWS). Votre compte d'administrateur délégué pour Change Manager, qui est différent de votre compte de gestion, gère les activités de modification au sein de votre organisation, notamment les modèles de modifications, les demandes de modifications et les approbations qui s'y rapportent. Dans le compte d'administrateur délégué, vous spécifiez également d'autres options de configuration pour vos opérations Change Manager. 
**Important**  
Le compte d'administrateur délégué doit être le seul membre de l'unité d'organisation (UO) à laquelle il est affecté dans Organizations.
+ **Tâche 2 : définir et spécifier des politiques d'accès du runbook pour les rôles de demandeur de modification ou les fonctions professionnelles personnalisées que vous voulez utiliser pour vos Change Manageropérations**

  Pour créer des demandes de modification dansChange Manager, les utilisateurs de vos comptes membres doivent disposer d'autorisations Gestion des identités et des accès AWS (IAM) leur permettant d'accéder uniquement aux runbooks d'automatisation et aux modèles de modification que vous choisissez de mettre à leur disposition. 
**Note**  
Lorsqu'un utilisateur crée une demande de modification, il sélectionne d'abord un modèle de modification. Avec ce modèle de modification, plusieurs runbooks peuvent être disponibles, mais l'utilisateur ne peut en sélectionner qu'un seul pour chaque demande de modification. Les modèles de modifications peuvent également être configurés pour autoriser les utilisateurs à inclure n'importe quel runbook disponible dans leurs demandes.

  Pour octroyer les autorisations nécessaires, Change Manager utilise le concept de *fonctions professionnelles*, qui est partagé par IAM. Cependant, contrairement aux [politiques gérées par AWS pour les fonctions professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans IAM, ici, vous spécifiez les noms de vos fonctions professionnelles Change Manager et les autorisations IAM pour ces fonctions professionnelles. 

  Lorsque vous configurez une fonction professionnelle, nous vous recommandons de créer une politique personnalisée et de ne fournir que les autorisations nécessaires pour effectuer des tâches de gestion des modifications. Par exemple, vous pouvez spécifier des autorisations limitant les utilisateurs à cet ensemble spécifique de runbooks selon des *fonctions professionnelles* définies. 

  Par exemple, vous pouvez créer une fonction professionnelle avec le nom `DBAdmin`. Pour cette fonction professionnelle, vous pouvez octroyer uniquement les autorisations nécessaires pour les runbooks liés à des bases de données Amazon DynamoDB, comme `AWS-CreateDynamoDbBackup` et `AWSConfigRemediation-DeleteDynamoDbTable`. 

  Ou alors vous pouvez octroyer à certains utilisateurs uniquement les autorisations nécessaires pour utiliser les runbooks liés à des compartiments Amazon Simple Storage Service (Amazon S3), comme `AWS-ConfigureS3BucketLogging` et `AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock`. 

  Le processus de configuration de Change Manager dans Quick Setup met également à votre disposition un ensemble d'autorisations administratives complètes de Systems Manager, que vous pouvez appliquer au rôle administratif que vous créez. 

  Chaque configuration de Quick Setup dans Change Manager déployée crée une fonction professionnelle dans votre compte d'administrateur délégué avec les autorisations d'exécuter des modèles Change Manager et des runbooks Automation dans les unités organisationnelles que vous avez sélectionnées. Vous pouvez créer jusqu'à 15 configurations Quick Setup pour Change Manager. 
+ **Tâche 3 : choisir les comptes membres de votre organisation à utiliser avec Change Manager**

  Vous pouvez utiliser Change Manager avec tous les comptes membres de toutes vos unités organisationnelles configurées dans Organizations, et dans toutes les Régions AWS où ils fonctionnent. Si vous préférez, vous pouvez utiliser Change Manager avec seulement quelques-unes de vos unités organisationnelles.

**Important**  
Avant de commencer cette procédure, nous vous recommandons vivement de prendre connaissance des différentes étapes qui la composent, afin de comprendre les choix de configuration que vous effectuez et les autorisations que vous octroyez. En particulier, planifiez les fonctions professionnelles personnalisées que vous allez créer et les autorisations que vous affectez à chaque fonction professionnelle. De la sorte, lorsque vous attacherez les politiques de fonctions professionnelles créées à des utilisateurs individuels, des groupes d'utilisateurs ou des rôles IAM, ils ne recevront que les autorisations que vous entendez leur octroyer.  
Il est recommandé de commencer par configurer le compte d'administrateur délégué à l'aide de l'identifiant d'un Compte AWS administrateur. Ensuite, configurez les fonctions professionnelles et leurs autorisations après avoir créé des modèles de modifications et identifié les runbooks que chacun d'entre eux utilise.

Pour configurer Change Manager pour une utilisation avec une organisation,, exécutez la tâche suivante dans la zone Quick Setup de la console Systems Manager.

Répétez cette tâche pour chaque fonction professionnelle que vous voulez créer pour votre organisation. Chaque fonction professionnelle créée peut avoir des autorisations pour un ensemble différent d'unités organisationnelles.

**Pour configurer une organisation pour Change Manager dans le compte de gestion Organizations**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Quick Setup**.

1. Sur la carte **Change Manager**, choisissez **Create** (Créer).

1. Pour **Delegated administrator account (Compte d'administrateur délégué)**, saisissez l'ID du Compte AWS que vous voulez utiliser pour gérer les modèles de modifications, les demandes de modifications et les flux de travail de runbook dans Change Manager. 

   Si vous avez précédemment spécifié un compte d'administrateur délégué pour Systems Manager, son ID figure déjà dans ce champ. 
**Important**  
Le compte d'administrateur délégué doit être le seul membre de l'unité d'organisation (UO) à laquelle il est affecté dans Organizations.  
Si le compte d'administrateur délégué que vous enregistrez est désinscrit ultérieurement de ce rôle, le système supprime ses autorisations pour gérer les opérations du Systems Manager en même temps. N'oubliez pas que vous devrez revenir à Quick Setup, désigner un compte d'administrateur délégué différent et spécifier à nouveau toutes les fonctions professionnelles et les autorisations.  
Si vous utilisez Change Manager au sein d'une organisation, nous vous recommandons de toujours apporter les modifications à partir du compte d'administrateur délégué. Bien qu'il soit possible d'apporter des modifications à partir d'autres comptes de l'organisation, celles-ci ne seront pas signalées ou affichées à partir du compte d'administrateur délégué.

1. Dans la section **Autorisations de demander et d'apporter des modifications**, procédez comme suit.
**Note**  
Chaque configuration de déploiement que vous créez fournit la politique d'autorisations d'une seule fonction professionnelle. Vous pourrez revenir à Quick Setup ultérieurement pour créer d'autres fonctions professionnelles lorsque vous aurez créé des modèles de modifications à utiliser dans vos opérations.

   **Pour créer un rôle administratif** : pour une fonction professionnelle d'administrateur qui dispose d'autorisations IAM pour toutes les actions AWS , procédez comme suit.
**Important**  
L'octroi d'autorisations administratives complètes aux utilisateurs doit être effectué avec parcimonie, et uniquement si leurs rôles nécessitent un accès complet à Systems Manager. Pour obtenir des informations importantes sur les considérations de sécurité relatives à l'accès à Systems Manager, veuillez consulter [Gestion des identités et des accès pour AWS Systems Manager](security-iam.md) et [Bonnes pratiques de sécurité pour Systems Manager](security-best-practices.md).

   1. Pour **Job function (Fonction professionnelle)**, saisissez un nom pour identifier ce rôle et ses autorisations, **My AWS Admin** par exemple.

   1. Pour **Role and permissions option (Option de rôle et d'autorisations)**, sélectionnez **Autorisations d'administrateur**.

   **Pour créer d'autres fonctions professionnelles** : pour créer un rôle non administratif, procédez comme suit :

   1. Pour **Job function (Fonction professionnelle)**, saisissez un nom pour identifier ce rôle et suggérer ses autorisations. Le nom que vous sélectionnez doit représenter la portée des runbooks pour lesquels vous fournirez des autorisations, `DBAdmin` ou `S3Admin` par exemple. 

   1. Pour **Role and permissions option (Option de rôle et d'autorisations)**, sélectionnez **Custom persmissions (Autorisations personnalisées)**.

   1. Dans l'**éditeur de politique d'autorisations**, saisissez les autorisations IAM, au format JSON, à octroyer à cette fonction professionnelle.
**Astuce**  
Nous vous recommandons d'utiliser l'éditeur de politique IAM pour construire votre politique, puis de coller le JSON de la politique dans le champ **Politique d'autorisations**.

**Exemple de politique : gestion de la base de données DynamoDB**  
Par exemple, vous pouvez commencer par le contenu de la politique qui fournit des autorisations pour travailler avec les documents Systems Manager (documents SSM) auxquels la fonction professionnelle doit accéder. Voici un exemple de contenu de politique qui donne accès à tous les runbooks d'automatisation AWS gérés liés aux bases de données DynamoDB et à deux modèles de modification créés dans l' Compte AWS `123456789012`exemple, dans la région USA Est (Ohio) (). `us-east-2` 

   La politique inclut également l'autorisation pour l'opération [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html), qui est obligatoire pour créer une demande de modification dans Change Calendar. 
**Note**  
Cet exemple n'est pas exhaustif. Des autorisations supplémentaires peuvent être nécessaires pour travailler avec d'autres AWS ressources, telles que des bases de données et des nœuds.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:CreateDocument",
                   "ssm:DescribeDocument",
                   "ssm:DescribeDocumentParameters",
                   "ssm:DescribeDocumentPermission",
                   "ssm:GetDocument",
                   "ssm:ListDocumentVersions",
                   "ssm:ModifyDocumentPermission",
                   "ssm:UpdateDocument",
                   "ssm:UpdateDocumentDefaultVersion"
               ],
               "Resource": [
                   "arn:aws:ssm:us-east-1:*:document/AWS-CreateDynamoDbBackup",
                   "arn:aws:ssm:us-east-1:*:document/AWS-AWS-DeleteDynamoDbBackup",
                   "arn:aws:ssm:us-east-1:*:document/AWS-DeleteDynamoDbTableBackups",
                   "arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-DeleteDynamoDbTable",
                   "arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable",
                   "arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable",
                   "arn:aws:ssm:us-east-1:111122223333:document/MyFirstDBChangeTemplate",
                   "arn:aws:ssm:us-east-1:111122223333:document/MySecondDBChangeTemplate"
               ]
           },
           {
               "Effect": "Allow",
               "Action": "ssm:ListDocuments",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "ssm:StartChangeRequestExecution",
               "Resource": [
                   "arn:aws:ssm:us-east-1:111122223333:document/*",
                   "arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
               ]
           }
       ]
   }
   ```

------

   Pour de plus amples informations sur les politiques IAM, veuillez consulter [Gestion des accès pour des ressources AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) et [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l'utilisateur IAM*.

1. Dans la section **Cibles**, choisissez d'octroyer des autorisations pour la fonction professionnelle que vous créez à l'ensemble de votre organisation ou à certaines de vos unités organisationnelles uniquement.

   Si vous sélectionnez **Ensemble de l'organisation**, passez à l'étape 9.

   Si vous sélectionnez **Custom (Personnalisé)**, passez à l'étape 8.

1. Dans la OUs section **Cible**, cochez les cases des unités organisationnelles à utiliser avecChange Manager.

1. Choisissez **Créer**.

Une fois que le système a terminé de configurer Change Managerpour votre organisation, il affiche un résumé de vos déploiements. Ces informations récapitulatives incluent le nom du rôle créé pour la fonction professionnelle que vous avez configurée. Par exemple, `AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole`.

**Note**  
Quick Setuputilise AWS CloudFormation StackSets pour déployer vos configurations. Vous pouvez également afficher des informations sur une configuration de déploiement terminée dans la console CloudFormation . Pour plus d'informations StackSets, consultez la section [Travailler avec AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) dans le *guide de AWS CloudFormation l'utilisateur*.

Dans l'étape suivante, vous allez configurer des options Change Manager supplémentaires. Vous pouvez effectuer cette tâche dans votre compte d'administrateur délégué ou dans n'importe quel compte d'une unité d'organisation dont vous avez autorisé l'utilisation avec Change Manager. Parmi les options que vous configurez, vous pouvez choisir une option de gestion des identités utilisateur, spécifier les utilisateurs qui peuvent vérifier et approuver ou rejeter les modèles de modifications et les demandes de modifications, et choisir les options de bonnes pratiques à autoriser pour votre organisation. Pour plus d'informations, consultez [Configuration d'options et de bonnes pratiques Change Manager](change-manager-account-setup.md).

# Configuration d'options et de bonnes pratiques Change Manager
<a name="change-manager-account-setup"></a>

**Change Managerchangement de disponibilité**  
AWS Systems ManagerChange Managerne sera plus ouvert aux nouveaux clients à compter du 7 novembre 2025. Si vous souhaitez l'utiliserChange Manager, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez [AWS Systems ManagerChange Managerla section Modification de la disponibilité](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Les tâches de cette section doivent être effectuéesChange Manager, que vous utilisiez un outil au sein d'une organisation AWS Systems Manager, au sein d'une organisation ou dans une seule organisation Compte AWS.

Si vous utilisez Change Manager pour une organisation, vous pouvez effectuer les tâches suivantes dans votre compte d'administrateur délégué ou dans n'importe quel compte d'une unité d'organisation dont vous avez autorisé l'utilisation avec Change Manager.

**Topics**
+ [

## Tâche 1 : configuration de vérificateurs de gestion des identités des utilisateurs et de modèles Change Manager
](#cm-configure-account-task-1)
+ [

## Tâche 2 : configuration d'approbateurs d'événements de gel des modifications et de bonnes pratiques Change Manager
](#cm-configure-account-task-2)
+ [

# Configuration des rubriques Amazon SNS pour les notifications Change Manager
](change-manager-sns-setup.md)

## Tâche 1 : configuration de vérificateurs de gestion des identités des utilisateurs et de modèles Change Manager
<a name="cm-configure-account-task-1"></a>

Effectuez la tâche de cette procédure la première fois que vous accédez à Change Manager. Vous pouvez mettre à jour ces paramètres de configuration ultérieurement en revenant à Change Manager et en choisissant **Modifier** sous l'onglet **Settings (Paramètres)**.

**Pour configurer des vérificateurs de gestion des identités des utilisateurs et de modèles Change Manager**

1. Connectez-vous au AWS Management Console.

   Si vous utilisez Change Manager pour une organisation, connectez-vous avec les informations d'identification de votre compte d'administrateur délégué. L'utilisateur doit disposer des autorisations Gestion des identités et des accès AWS  (IAM) nécessaires pour effectuer des mises à jour de vos paramètres Change Manager.

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Change Manager**.

1. Sur la page d'accueil du service, effectuez l'une des actions suivantes en fonction des options disponibles :
   + Si vous utilisez Change Manager avec AWS Organizations , choisissez **Configurer un compte délégué**.
   + Si vous l'utilisez Change Manager avec un seul Compte AWS appareil, choisissez **Configurer Change Manager**.

     -ou-

     Sélectionnez **Créer un exemple de demande de modification**, **Ignore**, puis sélectionnez l'onglet **Settings (Paramètres)**.

1. Pour **Gestion des identités utilisateur**, sélectionnez l'une des options suivantes.
   + **Gestion des identités et des accès AWS (IAM)** — Identifiez les utilisateurs qui font et approuvent les demandes et effectuent d'autres actions en Change Manager utilisant vos utilisateurs, groupes et rôles existants.
   + **AWS IAM Identity Center (IAM Identity Center)** — Autorisez [IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/) à créer et à gérer des identités, ou à vous connecter à votre source d'identité existante pour identifier les utilisateurs qui effectuent des actions dans. Change Manager

1. Dans la section **Template reviewer notification** (Notification du vérificateur de modèle), spécifiez les rubriques Amazon Simple Notification Service (Amazon SNS) à utiliser afin d'informer les vérificateurs de modèles qu'il est possible de vérifier un nouveau modèle de modification ou une nouvelle version d'un modèle de modification. Vérifiez que la rubrique Amazon SNS que vous sélectionnez est bien configurée pour envoyer des notifications à vos vérificateurs de modèles. 

   Pour obtenir des informations sur la création et la configuration de rubriques Amazon SNS pour les notifications des vérificateurs de modèles de modifications, consultez [Configuration des rubriques Amazon SNS pour les notifications Change Manager](change-manager-sns-setup.md).

   1. Pour spécifier la rubrique Amazon SNS pour les notifications des vérificateurs de modèles, sélectionnez l'une des options suivantes :
      + **Saisir un Amazon Resource Name (ARN) SNS** : pour **ARN de rubrique**, saisissez l'ARN d'une rubrique Amazon SNS existante. Cette rubrique peut se trouver dans n'importe quel compte de votre organisation.
      + **Sélectionner une rubrique SNS existante** : pour **Rubrique de notification cible**, sélectionnez l'ARN d'une rubrique Amazon SNS existante dans votre Compte AWS actuel. (Cette option n'est pas disponible si vous n'avez pas encore créé de rubrique Amazon SNS dans votre Compte AWS et Région AWS.)
**Note**  
La rubrique Amazon SNS que vous sélectionnez doit être configurée pour spécifier les notifications qu'elle envoie, ainsi que les abonnés auxquels elles sont envoyées. Sa politique d'accès doit également octroyer des autorisations à Systems Manager de sorte que Change Manager puisse envoyer des notifications. Pour plus d'informations, consultez [Configuration des rubriques Amazon SNS pour les notifications Change Manager](change-manager-sns-setup.md). 

   1. Sélectionnez **Ajouter une notification**.

1. Dans la section **Vérificateurs des modèles de modifications**, sélectionnez les utilisateurs de votre organisation ou de votre compte qui vérifieront les nouveaux modèles de modifications ou modifieront les versions de modèles avant qu'ils soient utilisés dans vos opérations. 

   Les vérificateurs de modèles de modifications sont chargés de vérifier l'adéquation et la sécurité des modèles que d'autres utilisateurs ont envoyés en vue d'une utilisation dans des flux de travail de runbook Change Manager.

   Sélectionnez les vérificateurs des modèles de modifications de la façon suivante :

   1. Choisissez **Ajouter**.

   1. Cochez la case en regard du nom de chaque utilisateur, groupe ou rôle IAM que vous souhaitez affecter en tant que vérificateur de modèle de modification.

   1. Sélectionnez **Ajouter des approbateurs**.

1. Sélectionnez **Submit (Envoyer)**.

 Une fois ce processus de configuration initiale terminé, configurez des paramètres et des bonnes pratiques Change Manageren suivant les étapes décrites dans [Tâche 2 : configuration d'approbateurs d'événements de gel des modifications et de bonnes pratiques Change Manager](#cm-configure-account-task-2).

## Tâche 2 : configuration d'approbateurs d'événements de gel des modifications et de bonnes pratiques Change Manager
<a name="cm-configure-account-task-2"></a>

Après avoir effectué les étapes de [Tâche 1 : configuration de vérificateurs de gestion des identités des utilisateurs et de modèles Change Manager](#cm-configure-account-task-1), vous pouvez désigner des vérificateurs supplémentaires pour les demandes de modifications lors d'*événements de gel des modifications* et spécifier les bonnes pratiques disponibles que vous souhaitez autoriser pour vos opérations Change Manager.

Un événement de gel des modifications signifie que des restrictions sont en place dans le calendrier des modifications actuel (c'est l'état du calendrier qui s'y AWS Systems Manager Change Calendar trouve`CLOSED`). Dans ce cas, outre les approbateurs réguliers des demandes de modifications, ou si la demande de modification est créée à l'aide d'un modèle qui autorise les approbations automatiques, les approbateurs de gel des modifications doivent octroyer l'autorisation d'exécuter cette demande de modification. Si ce n'est pas le cas, la modification ne sera pas traitée tant que le calendrier ne retrouvera pas le statut `OPEN`.

**Pour configurer d'approbateurs d'événements de gel des modifications et de bonnes pratiques Change Manager**

1. Dans le panneau de navigation, sélectionnez **Change Manager**.

1. Sélectionnez l'onglet **Settings (Paramètres)**, puis **Edit (Modifier)**.

1. Dans **Approbateurs d'événements de gel des modifications**, sélectionnez les utilisateurs de votre organisation ou de votre compte qui peuvent approuver les modifications à exécuter même lorsque le calendrier utilisé dans Change Calendar a le statut FERMÉ.
**Note**  
Pour autoriser les vérifications de gel des modifications, vous devez activer l'option **Vérifier les événements de modifications restreintes dans le calendrier des modifications** dans les **Bonnes pratiques**.

   Sélectionnez les approbateurs d'événements de gel des modifications en procédant comme suit :

   1. Choisissez **Ajouter**.

   1. Cochez la case en regard du nom de chaque utilisateur, groupe ou rôle IAM que vous souhaitez affecter en tant qu'approbateur pour les événements de gel des modifications.

   1. Sélectionnez **Ajouter des approbateurs**.

1. Dans la section **Bonnes pratiques**, en bas de la page, activez les bonnes pratiques que vous souhaitez appliquer pour chacune des options suivantes.
   + Option : **Vérifier les événements de modifications restreintes dans le calendrier des modifications**

     Pour spécifier que Change Manager vérifie un calendrier dans Change Calendar pour s'assurer que les modifications ne sont pas bloquées par des événements planifiés, cochez d'abord la case **Activé**, puis sélectionnez le calendrier dans lequel vérifier les événements de modifications restreintes dans la liste **Calendrier des modifications**.

     Pour plus d'informations sur Change Calendar, consultez [AWS Systems Manager Change Calendar](systems-manager-change-calendar.md).
   + Option  :**Rubrique SNS pour les approbateurs d'événements fermés**

     1. Sélectionnez l'une des options suivantes pour spécifier la rubrique Amazon Simple Notification Service (Amazon SNS) de votre compte à utiliser pour envoyer des notifications aux approbateurs lors d'événements de gel des modifications. (Notez que vous devez également spécifier des approbateurs dans la section **Approbateurs d'événements de gel des modifications** au-dessus des **Bonnes pratiques**.)
        + **Saisir un Amazon Resource Name (ARN) SNS** : pour **ARN de rubrique**, saisissez l'ARN d'une rubrique Amazon SNS existante. Cette rubrique peut se trouver dans n'importe quel compte de votre organisation.
        + **Sélectionner une rubrique SNS existante** : pour **Rubrique de notification cible**, sélectionnez l'ARN d'une rubrique Amazon SNS existante dans votre Compte AWS actuel. (Cette option n'est pas disponible si vous n'avez pas encore créé de rubrique Amazon SNS dans votre Compte AWS et Région AWS.)
**Note**  
La rubrique Amazon SNS que vous sélectionnez doit être configurée pour spécifier les notifications qu'elle envoie, ainsi que les abonnés auxquels elles sont envoyées. Sa politique d'accès doit également octroyer des autorisations à Systems Manager de sorte que Change Manager puisse envoyer des notifications. Pour plus d'informations, consultez [Configuration des rubriques Amazon SNS pour les notifications Change Manager](change-manager-sns-setup.md). 

     1. Sélectionnez **Ajouter une notification**.
   + Option : **Exiger des surveillances pour tous les modèles**

     Si vous voulez vous assurer que tous les modèles de votre organisation ou de votre compte contiennent une CloudWatch alarme Amazon pour surveiller votre opération de modification, cochez la case **Activé**.
   + Option : **Exiger la vérification et l'approbation du modèle avant son utilisation**

     Pour vous assurer qu'aucune demande de modification n'est créée et qu'aucun flux de travail de runbook n'est exécuté sans être basés sur un modèle qui a été vérifié et approuvé, cochez la case **Activé**.

1. Choisissez **Enregistrer**.

# Configuration des rubriques Amazon SNS pour les notifications Change Manager
<a name="change-manager-sns-setup"></a>

**Change Managerchangement de disponibilité**  
AWS Systems ManagerChange Managerne sera plus ouvert aux nouveaux clients à compter du 7 novembre 2025. Si vous souhaitez l'utiliserChange Manager, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez [AWS Systems ManagerChange Managerla section Modification de la disponibilité](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Vous pouvez configurer Change Manager un outil pour envoyer des notifications à une rubrique Amazon Simple Notification Service (Amazon SNS) pour les événements liés aux demandes de modification et aux modèles de modification. AWS Systems Manager Effectuez les tâches suivantes pour recevoir des notifications pour les événements Change Manager auxquels vous ajoutez une rubrique.

**Topics**
+ [

## Tâche 1 : Créer une rubrique Amazon SNS et s'y abonner
](#change-manager-sns-setup-create-topic)
+ [

## Tâche 2 : Mise à jour de la politique d'accès Amazon SNS
](#change-manager-sns-setup-encryption-policy)
+ [

## Tâche 3 : (Facultatif) Mettre à jour la politique AWS Key Management Service d'accès
](#change-manager-sns-setup-KMS-policy)

## Tâche 1 : Créer une rubrique Amazon SNS et s'y abonner
<a name="change-manager-sns-setup-create-topic"></a>

Pour commencer, vous devez créer une rubrique Amazon SNS à laquelle vous vous abonnez. Pour plus d'informations, consultez [Création d'une rubrique Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) et [Abonnement à une rubrique Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html) dans le *Guide du développeur Amazon Simple Notification Service*.

**Note**  
Pour recevoir des notifications, vous devez spécifier le nom de ressource Amazon (ARN) d'une rubrique Amazon SNS figurant dans le même compte Région AWS et en Compte AWS tant qu'administrateur délégué. 

## Tâche 2 : Mise à jour de la politique d'accès Amazon SNS
<a name="change-manager-sns-setup-encryption-policy"></a>

Utilisez la procédure suivante pour mettre à jour la politique d'accès Amazon SNS afin que Systems Manager puisse publier les notifications Change Manager dans la rubrique Amazon SNS créée dans la tâche 1. Si cette tâche n'est pas effectuée ,Change Manager n'a pas l'autorisation d'envoyer des notifications à propos d'événements auxquels vous ajoutez la rubrique.

1. [Connectez-vous à la console Amazon SNS AWS Management Console et ouvrez-la sur v3/home. https://console.aws.amazon.com/sns/](https://console.aws.amazon.com/sns/v3/home)

1. Dans le panneau de navigation, sélectionnez **Topics (Rubriques)**.

1. Sélectionnez la rubrique que vous avez créée dans la tâche 1, puis sélectionnez **Edit (Modifier)**.

1. Développez **la politique d'accès**.

1. Ajoutez et mettez à jour le `Sid` bloc suivant à la politique existante et remplacez-le *user input placeholder* par vos propres informations.

   ```
   {
       "Sid": "Allow Change Manager to publish to this topic",
       "Effect": "Allow",
       "Principal": {
           "Service": "ssm.amazonaws.com"
       },
       "Action": "sns:Publish",
       "Resource": "arn:aws:sns:region:account-id:topic-name",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": [
                   "account-id"
               ]
           }
       }
   }
   ```

   Entrez ce bloc après le `Sid` bloc existant, et remplacez-le par *region* *topic-name* les valeurs appropriées pour le sujet que vous avez créé. *account-id*

1. Sélectionnez **Enregistrer les modifications**.

Le système enverra maintenant des notifications à la rubrique Amazon SNS lorsque le type d'événement que vous ajoutez à la rubrique se produira.

**Important**  
Si vous avez configuré la rubrique Amazon SNS avec une clé de chiffrement côté serveur AWS Key Management Service (AWS KMS), vous devez effectuer la tâche 3.

## Tâche 3 : (Facultatif) Mettre à jour la politique AWS Key Management Service d'accès
<a name="change-manager-sns-setup-KMS-policy"></a>

Si vous avez activé AWS Key Management Service (AWS KMS) le chiffrement côté serveur pour votre rubrique Amazon SNS, vous devez également mettre à jour la politique d'accès que vous avez choisie lors de AWS KMS key la configuration de la rubrique. Utilisez la procédure suivante pour mettre à jour la politique d'accès afin que Systems Manager puisse publier les notifications d'approbation Change Manager dans la rubrique Amazon SNS créée dans la tâche 1.

1. Ouvrez la AWS KMS console à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Dans le volet de navigation, sélectionnez **Clés gérées par le client**.

1. Sélectionnez l'ID de la clé gérée par le client que vous avez choisie lors de la création de la rubrique.

1. Dans la section **Key policy (Politique de clé)**, sélectionnez **Switch to policy view (Passer à la vue de politique)**.

1. Sélectionnez **Edit** (Modifier).

1. Entrez le bloc `Sid` suivant après l'un des blocs `Sid` existants dans la politique existante. Remplacez chaque *user input placeholder* par vos propres informations.

   ```
   {
       "Sid": "Allow Change Manager to decrypt the key",
       "Effect": "Allow",
       "Principal": {
           "Service": "ssm.amazonaws.com"
       },
       "Action": [
           "kms:Decrypt",
           "kms:GenerateDataKey*"
       ],
       "Resource": "arn:aws:kms:region:account-id:key/key-id",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": [
                   "account-id"
               ]
           }
       }
   }
   ```

1. Maintenant, entrez le bloc `Sid` suivant après l'un des blocs `Sid` existants dans la politique de ressources pour aider à prévenir le [problème du député confus entre services](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). 

   Ce bloc utilise les clés de contexte de condition globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) et [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) pour limiter les autorisations que Systems Manager accorde à un autre service pour la ressource.

   Remplacez chaque *user input placeholder* par vos propres informations.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": [
                   "sns:Publish"
               ],
               "Resource": "arn:aws:sns:us-east-1:111122223333:topic-name",
               "Condition": {
                   "ArnLike": {
                       "aws:SourceArn": "arn:aws:ssm:us-east-1:111122223333:*"
                   },
                   "StringEquals": {
                       "aws:SourceAccount": "111122223333"
                   }
               }
           }
       ]
   }
   ```

------

1. Sélectionnez **Enregistrer les modifications**.

# Configuration des rôles et des autorisations pour Change Manager
<a name="change-manager-permissions"></a>

**Change Managerchangement de disponibilité**  
AWS Systems ManagerChange Managerne sera plus ouvert aux nouveaux clients à compter du 7 novembre 2025. Si vous souhaitez l'utiliserChange Manager, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez [AWS Systems ManagerChange Managerla section Modification de la disponibilité](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Par défaut, Change Manager ne dispose pas d’autorisation pour effectuer des actions sur vos instances. Vous devez accorder l'accès en utilisant un rôle de service Gestion des identités et des accès AWS (IAM) ou en *assumant un rôle*. Ce rôle permet à Change Manager d’exécuter en toute sécurité les flux de travail du Runbook spécifiés dans une demande de modification approuvée en votre nom. Le rôle accorde la [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)confiance à AWS Security Token Service (AWS STS)Change Manager.

En accordant ces autorisations à un rôle pour agir au nom des utilisateurs d'une organisation, les utilisateurs n'ont pas besoin de se voir accorder eux-mêmes ce tableau d'autorisations. Les actions permises par les autorisations se limitent uniquement aux opérations approuvées.

Lorsque les utilisateurs de votre compte ou de votre organisation créent une demande de modification, ceux-ci peuvent sélectionner ce rôle de responsable pour effectuer les opérations de modification.

Vous pouvez créer un nouveau rôle de responsable pour Change Manager ou mettre à jour un rôle existant avec les autorisations nécessaires.

Si vous avez besoin de créer une fonction du service pour Change Manager, exécutez les tâches suivantes. 

**Topics**
+ [

## Tâche 1 : Création d'une politique de rôle de responsable pour Change Manager
](#change-manager-role-policy)
+ [

## Tâche 2 : Création d'une politique de rôle de responsable pour Change Manager
](#change-manager-role)
+ [

## Tâche 3 : Attacher la politique `iam:PassRole` à d'autres rôles
](#change-manager-passpolicy)
+ [

## Tâche 4 : Ajouter des politiques intégrées à un rôle d'assume pour invoquer d'autres Services AWS
](#change-manager-role-add-inline-policy)
+ [

## Tâche 5 : Configuration de l'accès utilisateur à Change Manager
](#change-manager-passrole)

## Tâche 1 : Création d'une politique de rôle de responsable pour Change Manager
<a name="change-manager-role-policy"></a>

Suivez la procédure suivante pour créer la politique que vous attacherez à votre rôle de responsable Change Manager.

**Pour créer une politique de rôle de responsabilité pour Change Manager**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le volet de navigation, choisissez **Policies**, puis **Create Policy**.

1. Dans la page **Create policy** (Créer une politique), choisissez l’onglet **JSON** et remplacez le contenu par défaut par le contenu suivant que vous modifierez pour vos opérations Change Manager au bout des étapes suivantes.
**Note**  
Si vous créez une politique à utiliser avec un seul compte Compte AWS, et non avec une organisation possédant plusieurs comptes Régions AWS, vous pouvez omettre le premier bloc de relevés. L'autorisation `iam:PassRole` n'est pas requise pour le cas d’un compte unique utilisant Change Manager.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "iam:PassRole",
               "Resource": "arn:aws:iam::111122223333:role/AWS-SystemsManager-job-functionAdministrationRole",
               "Condition": {
                   "StringEquals": {
                       "iam:PassedToService": "ssm.amazonaws.com"
                   }
               }
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:DescribeDocument",
                   "ssm:GetDocument",
                   "ssm:StartChangeRequestExecution"
               ],
               "Resource": [
                   "arn:aws:ssm:us-east-1::document/template-name",
                   "arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:ListOpsItemEvents",
                   "ssm:GetOpsItem",
                   "ssm:ListDocuments",
                   "ssm:DescribeOpsItems"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Pour l'`iam:PassRole`action, mettez à jour la `Resource` valeur pour inclure toutes les fonctions ARNs de travail définies pour votre organisation auxquelles vous souhaitez accorder l'autorisation de lancer des flux de travail Runbook.

1. Remplacez les *job-function* balises *region**account-id*,*template-name*,*delegated-admin-account-id*, et par des valeurs correspondant à vos Change Manager opérations.

1. Pour la seconde `Resource`, modifiez la liste pour inclure tous les modèles de modification pour lesquels vous souhaitez accorder des autorisations. Sinon, indiquez `"Resource": "*"` pour accorder des autorisations pour tous les modèles de modification de votre organisation.

1. Choisissez **Suivant : Balises**.

1. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur d'identification afin d'organiser, de suivre ou de contrôler l'accès pour cette politique. 

1. Choisissez **Suivant : Vérification**.

1. Dans la page **Review policy** (Vérification de la politique), saisissez un nom dans la zone **Name** (Nom), tel que **MyChangeManagerAssumeRole**, puis saisissez une description facultative.

1. Choisissez **Create policy** (Créer une politique), et continuez vers [Tâche 2 : Création d'une politique de rôle de responsable pour Change Manager](#change-manager-role).

## Tâche 2 : Création d'une politique de rôle de responsable pour Change Manager
<a name="change-manager-role"></a>

Suivez la procédure suivante pour créer un rôle de responsable Change Manager, une sorte de fonction du service pour Change Manager.

**Pour créer un rôle d'assumer pour Change Manager**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.

1. Pour **Select trusted entity** (Sélectionner une entité de confiance), effectuez les choix suivants :

   1. Pour **Type d'entité de confiance**, choisissez **Service AWS **

   1. Pour les **cas d'utilisation pour les autres Services AWS**, choisissez **Systems Manager**

   1. Choisissez **Systems Manager**, comme illustré dans l'image suivante.  
![\[Capture d'écran illustrant l'option Systems Manager sélectionnée comme cas d'utilisation.\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)

1. Choisissez **Suivant**.

1. Dans la page **Attached permissions policy** (¨Politique d'autorisations attachées), recherchez la politique de rôle de responsable que vous avez créée dans[Tâche 1 : Création d'une politique de rôle de responsable pour Change Manager](#change-manager-role-policy), comme **MyChangeManagerAssumeRole**. 

1. Cochez la case cà côté du nom de la politique de rôle de responsable, puis choisissez **Next: Tags** (Suivant : balises).

1. Pour **Role name** (Nom du rôle), saisissez un nom pour votre nouveau profil d'instance, par exemple **MyChangeManagerAssumeRole**.

1. (Facultatif) Pour **Description**, saisissez une description pour ce role d'instance.

1. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur d'identification afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle. 

1. Choisissez **Suivant : Vérification**.

1. (Facultatif) Pour **Tags** (Balises), ajoutez une ou plusieurs paires clé-valeur d'identification afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis sélectionnez **Create role** (Créer le rôle). Le système vous renvoie à la page **Rôles**.

1. Sélectionnez **Créer un rôle**. Le système vous renvoie à la page **Rôles**.

1. Sur la page **Rôles**, sélectionnez le rôle que vous venez de créer pour ouvrir la page **Récapitulatif**. 

## Tâche 3 : Attacher la politique `iam:PassRole` à d'autres rôles
<a name="change-manager-passpolicy"></a>

Procédez comme suit pour attacher la politique `iam:PassRole` à un profil d'instance IAM ou à une fonction du service IAM. (Le service Systems Manager utilise des profils d'instance IAM pour communiquer avec les instances EC2. Pour les nœuds gérés non EC2 dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types), une fonction du service IAM est utilisée à la place.)

En attachant la politique `iam:PassRole`, le service Change Manager peut transmettre des autorisations de rôle à d’autres services ou outils Systems Manager lors de l’exécution des flux de travail de dossier d’exploitation.

**Pour attacher la politique `iam:PassRole` à un profil d'instance ou une fonction du service IAM**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**.

1. Recherchez le rôle de responsable Change Manager que vous avez créé, comme **MyChangeManagerAssumeRole** et définissez son nom.

1. Dans la page **Summary** (Résumé) du rôle de responsable, sélectionnez l'onglet **Autorisations**.

1. Choisissez **Add permissions, Create inline policy** (Ajouter des autorisations, Créer une politique en ligne).

1. Dans la page **Créer une politique**, sélectionnez l'onglet **Éditeur visuel**.

1. Sélectionnez **Service**, puis sélectionnez **IAM**.

1. Dans la zone de texte **Actions de filtrage****PassRole**, entrez, puis choisissez l'**PassRole**option.

1. Développer les **Ressources**. Vérifiez que **Spécifique** est sélectionné, puis sélectionnez **Add ARN** (Ajouter l'ARN).

1. Dans le champ **Specify ARN for role** (Spécifier l'ARN du rôle), saisissez l'ARN du rôle de profil d'instance IAM ou celui de la fonction du service IAM auquel vous souhaitez transmettre les autorisations de rôle de responsable. Le système remplit automatiquement les champs **Compte** et **Role name with path (Nom du rôle avec chemin d'accès)**. 

1. Choisissez **Ajouter**.

1. Sélectionnez **Review policy (Examiner une politique)**.

1. Pour **Name** (Nom), entrez un nom pour identifier cette politique, puis choisissez **Create policy** (Créer une politique).

**Plus d'informations**  
+ [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md)
+ [Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud](hybrid-multicloud-service-role.md)

## Tâche 4 : Ajouter des politiques intégrées à un rôle d'assume pour invoquer d'autres Services AWS
<a name="change-manager-role-add-inline-policy"></a>

Lorsqu'une demande de modification invoque d'autres services en Services AWS utilisant le rôle d'Change Managerassumer, le rôle d'assumer doit être configuré avec l'autorisation d'invoquer ces services. Cette exigence s'applique à tous les runbooks AWS Automation (runbooks AWS-\$1) susceptibles d'être utilisés dans une demande de modification, tels que les runbooks et les `AWS-ConfigureS3BucketLogging` runbooks. `AWS-CreateDynamoDBBackup` `AWS-RestartEC2Instance` Cette exigence s'applique également à tous les runbooks personnalisés que vous créez et qui invoquent d'autres services Services AWS en utilisant des actions qui appellent d'autres services. Par exemple, si vous exécutez les actions `aws:executeAwsApi`, `aws:CreateStack` ou `aws:copyImage`, vous devez configurer la fonction du service avec l'autorisation de faire appel à ces services. Vous pouvez accorder des autorisations à d'autres Services AWS en ajoutant une politique IAM en ligne au rôle. 

**Pour ajouter une politique intégrée à un rôle d'assumer afin d'en invoquer un autre Services AWS (console IAM)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Rôles**.

1. Dans la liste, définissez le nom du rôle de responsable que vous souhaitez mettre à jour, par exemple `MyChangeManagerAssumeRole`.

1. Choisissez l'onglet **Permissions** (Autorisations).

1. Choisissez **Add permissions, Create inline policy** (Ajouter des autorisations, Créer une politique en ligne).

1. Sélectionnez l'onglet **JSON**.

1. Entrez un document de politique JSON pour le que Services AWS vous souhaitez invoquer. Voici deux exemples de document de stratégie JSON.

   **Amazon S3`PutObject` et `GetObject` exemple**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject",
                   "s3:GetObject"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
           }
       ]
   }
   ```

------

   **Amazon EC2`CreateSnapshot` et `DescribeSnapShots` exemple**

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Effect":"Allow",
            "Action":"ec2:CreateSnapshot",
            "Resource":"*"
         },
         {
            "Effect":"Allow",
            "Action":"ec2:DescribeSnapshots",
            "Resource":"*"
         }
      ]
   }
   ```

------

    Afin d’obtenir des informations approfondies sur la terminologie IAM, consultez la [Référence de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l'utilisateur IAM*.

1. Lorsque vous avez terminé, sélectionnez **Review policy (Examiner une politique)**. Le programme de [validation de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) signale les éventuelles erreurs de syntaxe.

1. Pour **Name** (Nom), saisissez un nom pour identifier la politique que vous créez. Vérifiez le **récapitulatif** de politique pour voir les autorisations accordées par votre politique. Sélectionnez ensuite **Créer une politique** pour enregistrer votre travail.

1. Une fois que vous avez créé une politique en ligne, elle est automatiquement intégrée à votre rôle.

## Tâche 5 : Configuration de l'accès utilisateur à Change Manager
<a name="change-manager-passrole"></a>

Si votre utilisateur, votre groupe ou votre rôle dispose des autorisations d'administrateur, vous avez accès à Change Manager. Si vous ne disposez pas des autorisations d'administrateur, alors un administrateur doit vous assigner la politique gérée `AmazonSSMFullAccess` ou une politique octroyant des d'autorisations similaires à votre utilisateur, groupe ou rôle.

Suivez la procédure suivante afin de configurer un utilisateur pour utiliser Change Manager. L'utilisateur que vous sélectionnez aura l'autorisation de configurer et d'exécuter Change Manager. 

En fonction de l'application d'identité que vous utilisez dans votre organisation, vous pouvez sélectionner l'une des trois options disponibles pour configurer l'accès des utilisateurs. Lors de la configuration de l'accès utilisateur, attribuez ou ajoutez les éléments suivants : 

1. Attribuez la politique `AmazonSSMFullAccess` ou une politique comparable qui autorise l'accès à Systems Manager.

1. Attribuez la politique `iam:PassRole`.

1. Ajoutez l'ARN du rôle de responsable Change Manager que vous avez copié à la fin de [Tâche 2 : Création d'une politique de rôle de responsable pour Change Manager](#change-manager-role).

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :

  Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :

  Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
  + Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
  + (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d'autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l'utilisateur IAM*.

Vous en avez terminer avec la configuration des rôles requis pour Change Manager. Vous pouvez désormais utiliser l’ARN du rôle de responsabilité Change Manager dans vos opérations Change Manager.

# Contrôler l'accès aux flux de travail de runbook d'approbation automatique
<a name="change-manager-auto-approval-access"></a>

**Change Managerchangement de disponibilité**  
AWS Systems ManagerChange Managerne sera plus ouvert aux nouveaux clients à compter du 7 novembre 2025. Si vous souhaitez l'utiliserChange Manager, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez [AWS Systems ManagerChange Managerla section Modification de la disponibilité](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Dans chaque modèle de modification créé pour votre organisation ou votre compte, vous pouvez spécifier si les demandes de modifications créées à partir de ce modèle peuvent être exécutées en tant que des demandes de modifications approuvées automatiquement, ce qui signifie qu'elles s'exécutent automatiquement sans l'étape de vérification (à l'exception des événements de gel des modifications).

Toutefois, vous souhaiterez peut-être empêcher certains utilisateurs, groupes ou rôles Gestion des identités et des accès AWS (IAM) d'exécuter des demandes de modification approuvées automatiquement, même si un modèle de modification le permet. Pour cela, vous pouvez utiliser la clé de condition `ssm:AutoApprove` pour l'opération `StartChangeRequestExecution` dans une politique IAM affectée à l'utilisateur, au groupe ou au rôle IAM. 

Vous pouvez ajouter la politique suivante en tant que politique intégrée, dans laquelle la condition est spécifiée comme `false`, pour empêcher les utilisateurs d'exécuter des demandes de modifications à approbation automatique.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
            {
            "Effect": "Allow",
            "Action": "ssm:StartChangeRequestExecution",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "ssm:AutoApprove": "false"
                }
            }
        }
    ]
}
```

------

Pour obtenir des informations sur la spécification de politiques intégrées, veuillez consulter [Politiques en ligne](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies) et [Ajout et suppression d'autorisations basées sur l'identité IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le *Guide de l'utilisateur IAM*.

Pour de plus amples informations sur les clés de condition pour les politiques Systems Manager, veuillez consulter la rubrique [Clés de condition pour Systems Manager](security_iam_service-with-iam.md#policy-conditions).