• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 控制对自动批准运行手册工作流的访问
<a name="change-manager-auto-approval-access"></a>

**Change Manager 可用性变更**  
自 2025 年 11 月 7 日起，AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。

在为您的组织或账户创建的每个更改模板中，您可以指定从该模板创建的更改请求是否可以作为自动批准的更改请求运行，这意味着这些更改请求将在没有审核步骤的情况下自动运行（更改冻结事件除外）。

但是，您可能希望阻止某些用户、组或 AWS Identity and Access Management (IAM) 角色运行自动批准的更改请求，即使更改模板允许此操作也是如此。您可以将 `ssm:AutoApprove` 条件键用于分配给用户、组或 IAM 角色的 IAM policy 中的 `StartChangeRequestExecution` 操作，借此实现上述目标。

您可以将以下策略添加为内联策略，其中将该条件指定为 `false`，以阻止用户运行可自动批准的更改请求。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
            {
            "Effect": "Allow",
            "Action": "ssm:StartChangeRequestExecution",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "ssm:AutoApprove": "false"
                }
            }
        }
    ]
}
```

------

有关指定内联策略的信息，请参阅 *IAM 用户指南*中的[内联策略](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies)及[添加和删除 IAM 身份权限](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。

有关 Systems Manager 策略条件键的更多信息，请参阅 [Systems Manager 的条件键](security_iam_service-with-iam.md#policy-conditions)。