• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 为 Change Manager 配置角色和权限
<a name="change-manager-permissions"></a>

**Change Manager 可用性变更**  
自 2025 年 11 月 7 日起，AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。

默认情况下，Change Manager 没有对您的资源执行操作的权限。您必须使用 AWS Identity and Access Management (IAM) 服务角色或*担任角色*授予访问权限。该角色可以让 Change Manager 代表您安全地运行在批准的更改请求中指定的运行手册工作流。该角色向 AWS Security Token Service (AWS STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 授予对 Change Manager 的信任。

通过向角色提供这些权限以代表企业中的用户行事，用户本身不需要被授予该权限数组。权限允许的操作仅限于批准的操作。

当您的账户或企业中的用户创建更改请求时，他们可以选择此担任角色来执行更改操作。

您可以为 Change Manager 创建新的担任角色，也可以利用所需的权限更新现有角色。

如果您需要为 Change Manager 创建一个服务角色，请完成以下任务。

**Topics**
+ [任务 1：为 Change Manager 创建担任角色策略](#change-manager-role-policy)
+ [任务 2：为 Change Manager 创建担任角色](#change-manager-role)
+ [任务 3：将 `iam:PassRole` 策略附加到其他角色](#change-manager-passpolicy)
+ [任务 4：向担任角色添加内联策略以调用其他 AWS 服务](#change-manager-role-add-inline-policy)
+ [任务 5：配置用户对 Change Manager 的访问权限](#change-manager-passrole)

## 任务 1：为 Change Manager 创建担任角色策略
<a name="change-manager-role-policy"></a>

使用以下过程创建将附加到您的 Change Manager 担任角色的策略。

**为 Change Manager 创建担任角色策略**

1. 访问：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)，打开 IAM 控制台。

1. 在导航窗格中选择 **Policies**，然后选择 **Create Policy**。

1. 在 **Create policy**（创建策略）页面上，选择 **JSON** 选项卡，将默认内容替换为以下内容，您将在以下步骤中针对自己的 Change Manager 操作对其进行修改。
**注意**  
如果要创建用于单个 AWS 账户 的策略，而不是具有多个账户和 AWS 区域 的企业，则可以省略第一个数据块。对于使用 Change Manager 的单个账户，不需要 `iam:PassRole` 权限。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "iam:PassRole",
               "Resource": "arn:aws:iam::111122223333:role/AWS-SystemsManager-job-functionAdministrationRole",
               "Condition": {
                   "StringEquals": {
                       "iam:PassedToService": "ssm.amazonaws.com"
                   }
               }
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:DescribeDocument",
                   "ssm:GetDocument",
                   "ssm:StartChangeRequestExecution"
               ],
               "Resource": [
                   "arn:aws:ssm:us-east-1::document/template-name",
                   "arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:ListOpsItemEvents",
                   "ssm:GetOpsItem",
                   "ssm:ListDocuments",
                   "ssm:DescribeOpsItems"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. 对于 `iam:PassRole` 操作，更新 `Resource` 值以包括为您的企业定义的所有工作职能的 ARN，您希望对这些工作职能授予启动运行手册工作流的权限。

1. 将 *region*、*account-id*、*template-name*、*delegated-admin-account-id* 和 *job-function* 占位符替换为 Change Manager 操作的值。

1. 对于第二个 `Resource` 语句，修改列表以包括要授予权限的所有更改模板。或者，指定 `"Resource": "*"` 为企业中的所有更改模板授予权限。

1. 选择**下一步：标签**。

1. （可选）添加一个或多个标签键值对，以组织、跟踪或控制此策略的访问权限。

1. 选择**下一步：审核**。

1. 在 **Review policy**（查看策略）页面上的 **Name**（名称）框中输入一个名称，例如 **MyChangeManagerAssumeRole**，然后输入可选描述。

1. 选择 **Create policy**（创建策略），然后继续转至 [任务 2：为 Change Manager 创建担任角色](#change-manager-role)。

## 任务 2：为 Change Manager 创建担任角色
<a name="change-manager-role"></a>

使用以下过程为 Change Manager 创建 Change Manager 担任角色（一种服务角色类型）。

**为 Change Manager 创建担任角色**

1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 在导航窗格中，选择**角色**，然后选择**创建角色**。

1. 对于 **Select trusted entity**（选择可信实体），完成以下选择：

   1. 对于**可信实体类型**，选择 **AWS 服务**。

   1. 对于**其他 AWS 服务 的应用场景**，选择 **Systems Manager**

   1. 选择 **Systems Manager**，如下图所示。  
![\[展示了将 Systems Manager 选为应用场景的选项屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)

1. 选择**下一步**。

1. 在 **Attached permissions policy**（附加的权限策略）页面上，搜索您在 [任务 1：为 Change Manager 创建担任角色策略](#change-manager-role-policy) 中创建的担任角色策略，比如 **MyChangeManagerAssumeRole**。

1. 选中担任角色策略名称旁边的复选框，然后选择 **Next: Tags**（下一步：标签）。

1. 对于**Role name**（角色名称），请输入新实例配置文件的名称，例如 **MyChangeManagerAssumeRole**。

1. （可选）对于 **Description**（描述），更新该实例角色的描述。

1. （可选）添加一个或多个标签键值对，以组织、跟踪或控制此角色的访问权限。

1. 选择**下一步：审核**。

1. （可选）对于 **Tags**（标签），添加一个或多个标签键值对，以组织、跟踪或控制此角色的访问，然后选择 **Create role**（创建角色）。系统将让您返回到 **角色** 页面。

1. 选择 **Create role (创建角色)**。系统将让您返回到 **角色** 页面。

1. 在**角色**页面中，选择刚刚创建的角色以打开**摘要**页面。

## 任务 3：将 `iam:PassRole` 策略附加到其他角色
<a name="change-manager-passpolicy"></a>

使用以下过程将 `iam:PassRole` 策略附加到 IAM 实例配置文件或 IAM 服务角色。（Systems Manager 服务使用 IAM 实例配置文件与 EC2 实例进行通信。对于[混合和多云](operating-systems-and-machine-types.md#supported-machine-types)环境中的非 EC2 托管式节点，改用 IAM 服务角色。）

通过附加 `iam:PassRole` 策略，Change Manager 服务可以在运行运行手册工作流时将担任角色权限传递给其他服务或 Systems Manager 工具。

**将 `iam:PassRole` 策略附加到 IAM 实例配置文件或服务角色**

1. 通过以下网址打开 IAM 控制台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在导航窗格中，选择**角色**。

1. 搜索您创建的 Change Manager 担任角色（如 **MyChangeManagerAssumeRole**），然后选择其名称。

1. 在担任角色的 **Summary**（摘要）页面中，选择 **Permissions**（权限）选项卡。

1. 选择 **Add permissions, Create inline policy**（添加权限、创建内联策略）。

1. 在 **Create policy (创建策略)** 页面上，选择 **Visual editor (可视化编辑器)** 选项卡。

1. 选择**服务**，然后选择 **IAM**。

1. 在 **Filter actions**（筛选操作）文本框中，输入 **PassRole**，然后选择 **PassRole** 选项。

1. 展开 **Resources**（资源）。确保已选择**特定**，然后选择**添加 ARN**。

1. 在 **Specify ARN for role**（为角色指定 ARN）字段中，输入要向其传递担任角色权限的 IAM 实例配置文件角色或 IAM 服务角色的 ARN。系统会自动填充**账户**和**具有路径的角色名称**字段。

1. 选择 **Add (添加)**。

1. 选择**查看策略**。

1. 对于 **Name**（名称），输入一个名称来标识此策略，然后选择 **Create policy**（创建策略）。

**更多信息**  
+ [配置 Systems Manager 所需的实例权限](setup-instance-permissions.md)
+ [在混合和多云环境中创建 Systems Manager 所需的 IAM 服务角色](hybrid-multicloud-service-role.md)

## 任务 4：向担任角色添加内联策略以调用其他 AWS 服务
<a name="change-manager-role-add-inline-policy"></a>

当更改请求使用 Change Manager 代入角色调用其他 AWS 服务时，必须为代入角色配置调用这些服务的权限。此要求适用于可能在更改请求中使用的所有 AWS 自动化运行手册（AWS-\$1 运行手册），例如 `AWS-ConfigureS3BucketLogging`、`AWS-CreateDynamoDBBackup` 和 `AWS-RestartEC2Instance` 运行手册。对于您创建的任何自定义运行手册，如果这些文档使用调用其他服务的操作来调用其他 AWS 服务，则此要求同样适用。例如，如果您使用 `aws:executeAwsApi`、`aws:CreateStack` 或 `aws:copyImage` 操作，则您必须配置具有权限的服务角色来调用这些服务。您可以通过将 IAM 内联策略添加到角色以向其他 AWS 服务授予权限。

**将内联策略添加到代入角色以调用其他 AWS 服务（IAM 控制台）**

1. 登录 AWS 管理控制台，然后通过以下网址打开 IAM 控制台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在导航窗格中，选择**角色**。

1. 在列表中，选择要更新的担任角色的名称，例如 `MyChangeManagerAssumeRole`。

1. 选择**权限**选项卡。

1. 选择 **Add permissions, Create inline policy**（添加权限、创建内联策略）。

1. 选择 **JSON** 选项卡。

1. 输入您希望调用的 AWS 服务的 JSON 策略文档。以下是两个示例 JSON 策略文档。

   **Simple Storage Service (Amazon S3) `PutObject` 和 `GetObject` 示例**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject",
                   "s3:GetObject"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
           }
       ]
   }
   ```

------

   **Amazon EC2 `CreateSnapshot` 和 `DescribeSnapShots` 示例**

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Effect":"Allow",
            "Action":"ec2:CreateSnapshot",
            "Resource":"*"
         },
         {
            "Effect":"Allow",
            "Action":"ec2:DescribeSnapshots",
            "Resource":"*"
         }
      ]
   }
   ```

------

    有关 IAM policy 语言的详细信息，请参阅《IAM 用户指南》中的 [IAM JSON 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。

1. 完成后，选择**查看策略**。[策略验证程序](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)将报告任何语法错误。

1. 对于 **Name**（名称），输入一个名称来标识您创建的策略。查看策略**摘要**以查看您的策略授予的权限。然后，选择**创建策略**以保存您的工作。

1. 创建内联策略后，它会自动嵌入您的角色。

## 任务 5：配置用户对 Change Manager 的访问权限
<a name="change-manager-passrole"></a>

如果已为您的用户、组或角色分配了管理员权限，则您有权访问 Change Manager。如果您没有管理员权限，则管理员必须为您的用户、组或角色分配 `AmazonSSMFullAccess` 托管策略或提供类似权限的策略。

使用以下过程配置用户，以使用 Change Manager。您选择的用户将拥有配置并运行 Change Manager 的权限。

根据您在组织中使用的身份应用程序，您可以选择三个可用选项中的任何一个来配置用户访问权限。在配置用户访问权限时，请分配或添加以下内容：

1. 分配提供访问 Systems Manager 权限的 `AmazonSSMFullAccess` 策略或类似策略。

1. 分配 `iam:PassRole` 策略。

1. 为您在 [任务 2：为 Change Manager 创建担任角色](#change-manager-role) 末尾复制的 Change Manager 担任角色添加 ARN。

要提供访问权限，请为您的用户、组或角色添加权限：
+ AWS IAM Identity Center 中的用户和群组：

  创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供者在 IAM 中托管的用户：

  创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色（联合身份验证）](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户：
  + 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
  + （不推荐使用）将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限（控制台）](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。

您已完成了为 Change Manager 配置所需的角色。您现在可以在 Change Manager 操作中使用 Change Manager 担任角色 ARN。