• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Cree los roles de servicio para la automatización mediante la consola
<a name="automation-setup-iam"></a>

Si necesita crear un rol de servicio para Automatización, una herramienta de AWS Systems Manager, complete las siguientes tareas. Para obtener más información acerca de cuándo se necesita un rol de servicio para Automation, consulte [Configuración de Automation](automation-setup.md).

**Topics**
+ [Tarea 1: crear un rol de servicio para Automation](#create-service-role)
+ [Tarea 2: asociar la política iam:PassRole al rol de Automation](#attach-passrole-policy)

## Tarea 1: crear un rol de servicio para Automation
<a name="create-service-role"></a>

Siga este procedimiento a fin de crear un rol de servicio (o *rol de asunción*) para la Automatización de Systems Manager.

**nota**  
También puede utilizar este rol en manuales de procedimientos, como `AWS-CreateManagedLinuxInstance`. La utilización de este rol o del nombre de recurso de Amazon (ARN) de un rol de AWS Identity and Access Management (IAM) en los manuales de procedimientos permite a Automation realizar acciones en su entorno, como lanzar instancias nuevas y realizar acciones en su nombre.

**Para crear una función de IAM y permitir que Automation la asuma**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Roles** y luego seleccione **Create role**.

1. En **Seleccionar tipo de entidad de confianza**, seleccione **Servicio de AWS**.

1. En la sección **Elija un caso de uso**, elija **Systems Manager** y, a continuación, elija **Next: Permissions (Siguiente: Permisos)**.

1. En la página **Attached permissions policy (Política de permisos adjunta)**, busque la política **AmazonSSMAutomationRole**, elíjala y, después, seleccione **Next: Review (Siguiente: Revisión)**. 

1. En la página **Review** (Revisar), ingrese un nombre en el cuadro **Role name** (Nombre de rol) y, a continuación, escriba una descripción.

1. Elija **Create role**. El sistema le devuelve a la página **Roles**.

1. En la página **Roles**, elija el rol que acaba de crear para abrir la página **Summary (Resumen)**. Anote los valores de **Role Name (Nombre de rol)** y **Role ARN (ARN de rol)**. Especificará el ARN de rol al asociar la política **iam:PassRole** a su cuenta de IAM en el procedimiento siguiente. También puede especificar el nombre del rol y el ARN en los manuales de procedimientos.

**nota**  
La política `AmazonSSMAutomationRole` asigna al rol de Automation permiso para acceder a un subconjunto de funciones de AWS Lambda en su cuenta. Estas funciones comienzan por "Automation". Si piensa utilizar Automation con funciones de Lambda, el ARN de Lambda debe utilizar el siguiente formato:  
`"arn:aws:lambda:*:*:function:Automation*"`  
Si dispone de funciones de Lambda cuyos ARN no utilizan este formato, también debe adjuntar una política de Lambda adicional al rol de automatización, como la política **AWSLambdaRole**. La política o el rol adicionales deben proporcionar un acceso más amplio a las funciones de Lambda en la Cuenta de AWS.

Después de crear su rol de servicio, le recomendamos que modifique la política de confianza para ayudar a evitar el problema del suplente confuso entre servicios. El *problema de la sustitución confusa* es una cuestión de seguridad en la que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación entre servicios puede dar lugar al problema de la sustitución confusa. La suplantación entre servicios puede producirse cuando un servicio (el *servicio que lleva a cabo las llamadas*) llama a otro servicio (el *servicio al que se llama*). El servicio que lleva a cabo las llamadas se puedes manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder. Para evitarlo, AWS proporciona herramientas que lo ayudan a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su cuenta. 

Le recomendamos que utilice las claves de contexto de condición global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) en las políticas de recursos a fin de limitar los permisos que Automation le concede a otro servicio para el recurso. Si el valor de `aws:SourceArn` no contiene el ID de cuenta, como un ARN de bucket de Amazon S3, debe utilizar ambas claves de contexto de condición global para limitar los permisos. Si utiliza claves de contexto de condición global y el valor de `aws:SourceArn` contiene el ID de cuenta, el valor de `aws:SourceAccount` y la cuenta en el valor de `aws:SourceArn` deben utilizar el mismo ID de cuenta cuando se utiliza en la misma instrucción de política. Utiliza `aws:SourceArn` si desea que solo se asocie un recurso al acceso entre servicios. Utiliza `aws:SourceAccount` si quiere permitir que cualquier recurso de esa cuenta se asocie al uso entre servicios. El valor de `aws:SourceArn` debe ser el ARN para las ejecuciones de automatización. Si no conoce el ARN completo del recurso o si especifica varios recursos, utilice la clave de condición de contexto global `aws:SourceArn` con comodines (`*`) para las partes desconocidas del ARN. Por ejemplo, `arn:aws:ssm:*:123456789012:automation-execution/*`. 

En el ejemplo siguiente, se muestra cómo se pueden utilizar las claves de contexto de condición global `aws:SourceArn` y `aws:SourceAccount` para Automation para evitar el problema del suplente confuso.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "ssm.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:ssm:*:123456789012:automation-execution/*"
        }
      }
    }
  ]
}
```

------

**Para modificar una política de confianza de rol**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Roles** en el panel de navegación.

1. En la lista de roles de su cuenta, elija el nombre del rol de servicio de Automation.

1. Elija la pestaña **Relaciones de confianza** y, a continuación, **Editar relación de confianza**.

1. Edite la política de confianza mediante las claves de contexto de condición global `aws:SourceArn` y `aws:SourceAccount` para Automation a fin de evitar el problema de la sustitución confusa.

1. Para guardar los cambios, elija **Update Trust Policy** (Actualizar política de confianza).

### (Opcional) Agregar una política insertada de Automatización o una política administrada por el cliente para invocar otros Servicios de AWS
<a name="add-inline-policy"></a>

Si ejecuta una automatización que invoca otros Servicios de AWS mediante un rol de servicio de IAM, el rol de servicio debe configurarse con el permiso necesario para invocar dichos servicios. Este requisito se aplica a todos los manuales de procedimientos de automatización de AWS (manuales de `AWS-*`), como los manuales de procedimientos `AWS-ConfigureS3BucketLogging`, `AWS-CreateDynamoDBBackup` y `AWS-RestartEC2Instance`, por nombrar algunos. Este requisito también se aplica a cualquier manual de procedimientos personalizado que cree para invocar otros Servicios de AWS mediante acciones que llaman a otros servicios. Por ejemplo, si utiliza las acciones `aws:executeAwsApi`, `aws:CreateStack` o `aws:copyImage`, entre otras, debe configurar el rol de servicio con el permiso necesario para invocar dichos servicios. Puede conceder permisos a otros Servicios de AWS mediante la incorporación de una política insertada de IAM o política administrada por el cliente, al rol. 

**Para integrar una política insertada de un rol de servicio (consola de IAM)**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Roles** en el panel de navegación.

1. En la lista, seleccione el nombre del rol que desee editar.

1. Elija la pestaña **Permisos**.

1. En la lista desplegable para **Agregar permisos**, elija **Asociar políticas** o **Crear política insertada**.

1. Si elige **Asociar políticas**, active la casilla de verificación situada al lado de la política que desea agregar y elija **Agregar permisos**.

1. Si elige **Crear política insertada**, elija la pestaña **JSON**.

1. Ingrese un documento de política JSON para los Servicios de AWS que desee invocar. A continuación, se muestran dos documentos de política JSON a modo de ejemplo.

   **Ejemplo de PutObject y GetObject de Amazon S**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject",
                   "s3:GetObject"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
           }
       ]
   }
   ```

------

   **Ejemplo de CreateSnapshot y DescribeSnapShots de Amazon EC**

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Effect":"Allow",
            "Action":"ec2:CreateSnapshot",
            "Resource":"*"
         },
         {
            "Effect":"Allow",
            "Action":"ec2:DescribeSnapshots",
            "Resource":"*"
         }
      ]
   }
   ```

------

   Para obtener información acerca del lenguaje de la política de IAM, consulte [Referencia de políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM*.

1. Cuando haya terminado, elija **Review policy (Revisar política)**. El [validador de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) notifica los errores de sintaxis.

1. En la página **Review policy** (Revisar política), complete el campo **Name** (Nombre) de la política que está creando. Revise el **Summary** (Resumen) de la política para ver los permisos concedidos por su política. A continuación, elija **Create policy** (Crear política) para guardar su trabajo.

1. Una vez que cree una política insertada, se integra de manera automática a su rol.

## Tarea 2: asociar la política iam:PassRole al rol de Automation
<a name="attach-passrole-policy"></a>

Siga este procedimiento para asociar la política `iam:PassRole` al rol de servicio de Automation. Esto permite al servicio Automatización transferir el rol a otros servicios o herramientas de Systems Manager a la hora de ejecutar las automatizaciones.

**Para asociar la política iam:PassRole al rol de Automation**

1. En la página **Summary** del rol que acaba de crear, elija la pestaña **Permissions**.

1. Elija **Agregar política insertada**.

1. En la página **Create policy** (Crear política), elija la pestaña **Visual editor** (Editor visual).

1. Elija **Service** (Servicio) y, a continuación, **IAM**.

1. Elija **Select actions (Seleccionar acciones)**.

1. En el cuadro de texto **Filter actions (Filtrar acciones)**, escriba **PassRole** y, a continuación, elija la opción **PassRole**.

1. Seleccione **Recursos**. Compruebe que esté seleccionado **Specific (Específicos)** y elija **Add ARN (Añadir ARN)**.

1. En el campo **Specify ARN for role** (Especificar el ARN del rol), pegue el ARN del rol de Automation que copió al final de la tarea 1. El sistema rellena los campos **Account (Cuenta)** y **Role name with path (Nombre del rol con ruta)**.
**nota**  
Si desea que el rol de servicio de Automation adjunte un rol de perfil de instancia de IAM a una instancia de EC2, debe agregar el ARN del rol de perfil de instancia de IAM. Esto permite que el rol de servicio de Automation transfiera el rol de perfil de instancia de IAM a la instancia de EC2 de destino.

1. Elija **Add (Agregar)**.

1. Elija **Review policy** (Revisar política).

1. En la página **Review Policy** (Revisar política), ingrese un nombre y, a continuación, elija **Create policy** (Crear la política).