• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Introducción a con () Quick Setup
Utilice la información de este tema como ayuda para prepararse para usar Quick Setup.
**Topics**
+ [Roles y permisos de IAM para la incorporación de Quick Setup](#quick-setup-getting-started-iam)
+ [Incorporación manual para trabajar con la API de Quick Setup de forma programática](#quick-setup-api-manual-onboarding)
## Roles y permisos de IAM para la incorporación de Quick Setup
Quick Setup lanzó una nueva experiencia de consola y una API también nueva. Ahora puede interactuar con esta API mediante la consola, la AWS CLI, CloudFormation y los SDK. Si opta por la nueva experiencia, las configuraciones existentes se recrearán con la nueva API. Este proceso puede tardar varios minutos, según el número de configuraciones existentes en la cuenta.
Para poder usar la nueva consola de Quick Setup, debe tener permisos para las acciones siguientes:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm-quicksetup:*",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackResources",
"cloudformation:ListStackSetOperations",
"cloudformation:ListStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:ListStackSets",
"cloudformation:DescribeStackInstance",
"cloudformation:DescribeOrganizationsAccess",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:GetTemplate",
"cloudformation:ListStackSetOperationResults",
"cloudformation:DescribeStackEvents",
"cloudformation:UntagResource",
"ec2:DescribeInstances",
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListAssociations",
"ssm:DescribeAssociation",
"ssm:GetDocument",
"ssm:ListDocuments",
"ssm:DescribeDocument",
"ssm:ListResourceDataSync",
"ssm:DescribePatchBaselines",
"ssm:GetPatchBaseline",
"ssm:DescribeMaintenanceWindows",
"ssm:DescribeMaintenanceWindowTasks",
"ssm:GetOpsSummary",
"organizations:DeregisterDelegatedAdministrator",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:ListRoots",
"organizations:ListParents",
"organizations:ListOrganizationalUnitsForParent",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAWSServiceAccessForOrganization",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"resource-groups:ListGroups",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:CreatePolicy",
"organizations:RegisterDelegatedAdministrator",
"organizations:EnableAWSServiceAccess",
"cloudformation:TagResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudformation:RollbackStack",
"cloudformation:CreateStack",
"cloudformation:UpdateStack",
"cloudformation:DeleteStack"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup"
]
},
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStackSet",
"cloudformation:UpdateStackSet",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:CreateStackInstances",
"cloudformation:StopStackSetOperation"
],
"Resource": [
"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:stackset/SSMQuickSetup",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:DeleteRole",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRolePolicy",
"iam:PutRolePolicy"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
]
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/AWS-QuickSetup-*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm-quicksetup.amazonaws.com",
"cloudformation.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:DeleteAssociation",
"ssm:CreateAssociation",
"ssm:StartAssociationsOnce"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": [
"arn:aws:ssm:*:*:document/AWS-EnableExplorer",
"arn:aws:ssm:*:*:automation-execution/*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsSummary",
"ssm:CreateResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"accountdiscovery.ssm.amazonaws.com",
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"stacksets.cloudformation.amazonaws.com"
]
}
},
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin"
}
]
}
```
------
Para restringir a los usuarios a permisos de solo lectura, solo permita operaciones de `ssm-quicksetup:List*` y `ssm-quicksetup:Get*` para la API de Quick Setup.
Durante la incorporación, Quick Setup crea los siguientes roles de AWS Identity and Access Management (IAM) en su nombre:
+ `AWS-QuickSetup-LocalExecutionRole`: otorga permisos de CloudFormation para usar cualquier plantilla, excepto la plantilla de política de revisiones, y para crear los recursos necesarios.
+ `AWS-QuickSetup-LocalAdministrationRole`: Otorga a AWS CloudFormation el permiso para asumir `AWS-QuickSetup-LocalExecutionRole`.
+ `AWS-QuickSetup-PatchPolicy-LocalExecutionRole`: otorga permisos a AWS CloudFormation para usar la plantilla de política de revisioens y crear los recursos necesarios.
+ `AWS-QuickSetup-PatchPolicy-LocalAdministrationRole`: Otorga a AWS CloudFormation el permiso para asumir `AWS-QuickSetup-PatchPolicy-LocalExecutionRole`.
Si va a incorporar una cuenta de administración (la cuenta en la que crea una organización en AWS Organizations), Quick Setup también crea los siguientes roles en su nombre:
+ `AWS-QuickSetup-SSM-RoleForEnablingExplorer`: Otorga los permisos al runbook de automatización `AWS-EnableExplorer`. El manual de procedimientos `AWS-EnableExplorer` configura Explorer, una herramienta de Systems Manager, para mostrar información de varias Cuentas de AWS y Regiones de AWS.
+ `AWSServiceRoleForAmazonSSM`: Rol vinculado a un servicio que otorga el acceso a los recursos administrados de AWS y utilizados por Systems Manager.
+ `AWSServiceRoleForAmazonSSM_AccountDiscovery`: un rol vinculado a servicio que otorga los permisos a Systems Manager para llamar a los Servicios de AWS para detectar información de las cuentas de Cuenta de AWS al sincronizar datos. Para obtener más información, consulte [Uso de roles para recopilar información de la Cuenta de AWS para OpsCenter y Explorer](using-service-linked-roles-service-action-2.md).
Al incorporar una cuenta de administración, Quick Setup permite el acceso de confianza entre AWS Organizations y CloudFormation para implementar configuraciones de Quick Setup en toda la organización. Para habilitar el acceso de confianza, su cuenta de administración debe tener permisos de administrador. Tras la incorporación, ya no necesita los permisos de administrador. Para obtener más información, consulte [Activar el acceso de confianza con Organizations](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html).
Para obtener más información sobre los tipos de cuenta de AWS Organizations, consulte [Conceptos y terminología de AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) en la *Guía del usuario de AWS Organizations*.
**nota**
Quick Setup utiliza StackSets de CloudFormation para implementar las configuraciones en las Cuentas de AWS y regiones. Si el número de cuentas de destino multiplicado por el número de regiones supera las 10 000, la configuración no se implementará. Le recomendamos revisar su caso de uso y crear configuraciones que utilicen menos objetivos para adaptarse al crecimiento de su organización. Las instancias de pila no se implementan en la cuenta de administración de su organización. Para obtener mas información, consulte [Consideraciones al crear un conjunto de pilas con permisos administrados por servicios](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html?icmpid=docs_cfn_console#stacksets-orgs-considerations).
## Incorporación manual para trabajar con la API de Quick Setup de forma programática
Si utiliza la consola para trabajar con la Quick Setup, el servicio se encarga de los pasos de incorporación por usted. Si tiene pensado utilizar los SDK o la AWS CLI para trabajar con la API de Quick Setup, puede seguir utilizando la consola para que complete los pasos de incorporación por usted, de forma que no tenga que realizarlos manualmente. Sin embargo, algunos clientes tienen que completar los pasos de incorporación de la Quick Setup forma programática sin tener que interactuar con la consola. Si este método se ajusta a su caso de uso, debe realizar los siguientes pasos. Todos estos pasos deben completarse desde su cuenta de administración de AWS Organizations.
**Para realizar la incorporación manual de Quick Setup**
1. Active el acceso confiable para CloudFormation con Organizations. Esto le proporciona a la cuenta de administración los permisos necesarios para crear y administrar StackSets para su organización. Puede usar la acción de la API de `ActivateOrganizationsAccess` de CloudFormation para completar este paso. Para obtener más información, consulte [ActivateOrganizationsAccess](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_ActivateOrganizationsAccess.html) en la *Referencia de la API de AWS CloudFormation*.
1. Habilite la integración de Systems Manager con Organizations. Esto permite que Systems Manager cree un rol vinculado a servicios en todas las cuentas de su organización. También le permite realizar operaciones en su nombre en su organización y sus cuentas. Puede usar la acción de la API de `EnableAWSServiceAccess` de AWS Organizations para completar este paso. La entidad principal de servicio de Systems Manager es `ssm.amazonaws.com`. Para obtener más información, consulte [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) en la *referencia de la API de AWS Organizations*
1. Cree el rol de IAM requerido para Explorer. Esto permite que Quick Setup cree paneles de control para sus configuraciones, de modo que pueda ver los estados de implementación y asociación. Cree un rol de IAM y adjúntelo a la política administrada de `AWSSystemsManagerEnableExplorerExecutionPolicy`. Modifique la política de confianza del rol para que coincida con lo siguiente. Reemplace cada *ID de cuenta* con su propia información.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:*:ssm:*:111122223333:automation-execution/*"
}
}
}
]
}
```
------
1. Actualice la configuración del servicio de la Quick Setup para Explorer. Puede usar la acción de la API de `UpdateServiceSettings` de Quick Setup para completar este paso. Especifique el ARN para el rol de IAM que creó en el paso anterior para el parámetro de solicitud de `ExplorerEnablingRoleArn`. Para obtener más información, consulte [UpdateServiceSettings](https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_UpdateServiceSettings.html) en la *referencia de la API de Quick Setup*
1. Crea los roles de IAM necesarios para que los usen los StackSets de CloudFormation. Debe crear un rol de *ejecución* y un rol de *administración.*
1. Creación del rol de ejecución. El rol de ejecución debe tener al menos una de las políticas administradas de `AWSQuickSetupDeploymentRolePolicy` o de `AWSQuickSetupPatchPolicyDeploymentRolePolicy` asociadas. Si solo está creando configuraciones de políticas de revisiones, puede usar la política administrada de `AWSQuickSetupPatchPolicyDeploymentRolePolicy`. Todas las demás configuraciones utilizan la política de `AWSQuickSetupDeploymentRolePolicy`. Modifique la política de confianza del rol para que coincida con lo siguiente. Reemplace cada *ID de cuenta* y *nombre de rol de administración* con su propia información.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/administration role name"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Cree el rol de administración. La política de permisos debe coincidir con lo siguiente. Reemplace cada *ID de cuenta* y *nombre de rol de ejecución* con su propia información.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:*:iam::111122223333:role/execution role name",
"Effect": "Allow"
}
]
}
```
------
Modifique la política de confianza del rol para que coincida con lo siguiente. Reemplace cada *ID de cuenta* con su propia información.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:cloudformation:*:111122223333:stackset/AWS-QuickSetup-*"
}
}
}
]
}
```
------