• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione di ruoli e autorizzazioni per Systems Manager Explorer
L'installazione integrata crea e configura automaticamente i ruoli AWS Identity and Access Management (IAM) per AWS Systems Manager Explorer e AWS Systems Manager OpsCenter. Se è stata completata l'installazione integrata, non è necessario eseguire alcun processo aggiuntivo per la configurazione di ruoli e autorizzazioni per Explorer. Tuttavia, è necessario configurare le autorizzazioni per OpsCenter, come descritto più avanti in questo argomento.
Il programma di installazione integrata crea e configura i seguenti ruoli per lavorare con Explorer e OpsCenter.
+ `AWSServiceRoleForAmazonSSM`: fornisce l'accesso a risorse AWS gestite o utilizzate da Systems Manager.
+ `OpsItem-CWE-Role`: consente la creazione di CloudWatch eventi e EventBridge la creazione OpsItems in risposta a eventi comuni.
+ `AWSServiceRoleForAmazonSSM_AccountDiscovery`: Consente a Systems Manager di chiamare altri utenti Servizi AWS per scoprire Account AWS informazioni durante la sincronizzazione dei dati. Per ulteriori informazioni su questo ruolo, consulta [Utilizzo dei ruoli per raccogliere Account AWS informazioni per OpsCenter e Explorer](using-service-linked-roles-service-action-2.md).
+ `AmazonSSMExplorerExport`: Consente Explorer l'esportazione in un file OpsData con valori separati da virgole (CSV).
Se si configura Explorer la visualizzazione dei dati da più account e regioni utilizzando AWS Organizations una sincronizzazione dei dati delle risorse, Systems Manager crea il ruolo `AWSServiceRoleForAmazonSSM_AccountDiscovery` collegato al servizio. Systems Manager utilizza questo ruolo per ottenere informazioni sull'utente Account AWS AWS Organizations. Il ruolo utilizza la policy di autorizzazioni riportato di seguito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListChildren",
"organizations:ListParents"
],
"Resource":"*"
}
]
}
```
------
Per ulteriori informazioni sul ruolo `AWSServiceRoleForAmazonSSM_AccountDiscovery`, consulta [Utilizzo dei ruoli per raccogliere Account AWS informazioni per OpsCenter e Explorer](using-service-linked-roles-service-action-2.md).
## Configurazione delle autorizzazioni per l' di Systems Manager OpsCenter
Dopo aver completato la configurazione integrata, è necessario configurare le autorizzazioni utente, gruppo o ruolo in modo che gli utenti possano eseguire operazioni in OpsCenter.
**Prima di iniziare**
È possibile configurare OpsCenter per creare e gestire OpsItems su più account o su un solo account. Se si configura OpsCenter la creazione e la gestione OpsItems su più account, è possibile utilizzare l'account amministratore delegato di Systems Manager o l'account di AWS Organizations gestione per creare, visualizzare o modificare OpsItems manualmente altri account. Per ulteriori informazioni sull'account amministratore delegato di Systems Manager, consulta [Configurazione di un amministratore delegato per Explorer](Explorer-setup-delegated-administrator.md).
Se configuri OpsCenter per un singolo account, è possibile visualizzare o modificare gli OpsItems solo nell'account in cui gli OpsItems sono stati creati. Non puoi condividere o trasferireOpsItems. Account AWS Per questo motivo, ti consigliamo di configurare le autorizzazioni per OpsCenter l' Account AWS ambiente utilizzato per eseguire i AWS carichi di lavoro. È quindi possibile creare utenti o gruppi in tale account. In questo modo, più tecnici operativi o professionisti IT possono creare, visualizzare e modificare OpsItems nello stesso Account AWS.
Explorer e OpsCenter usano le seguenti operazioni delle API. È possibile utilizzare tutte le funzionalità di Explorer e OpsCenter se l'utente, il gruppo o il ruolo hanno accesso a tali operazioni. È anche possibile creare un accesso più restrittivo, come descritto più avanti in questa sezione.
+ [CreateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateOpsItem.html)
+ [CreateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateResourceDataSync.html)
+ [DescribeOpsItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeOpsItems.html)
+ [DeleteResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteResourceDataSync.html)
+ [GetOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsItem.html)
+ [GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html)
+ [ListResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListResourceDataSync.html)
+ [UpdateOpsItem](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateOpsItem.html)
+ [UpdateResourceDataSync](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateResourceDataSync.html)
Se preferisci, puoi specificare l'autorizzazione di sola lettura assegnando la seguente policy inline all'account, gruppo o ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:GetOpsSummary",
"ssm:DescribeOpsItems",
"ssm:GetServiceSetting",
"ssm:ListResourceDataSync"
],
"Resource": "*"
}
]
}
```
------
Per informazioni sulla creazione di una policy IAM, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l'utente di IAM*. Per informazioni su come assegnare questa policy a un gruppo IAM, consulta [Attaching a Policy to an IAM Group (Collegamento di una policy a un gruppo IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html).
Crea un'autorizzazione utilizzando quanto segue e aggiungila ai tuoi utenti, gruppi o ruoli:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:UpdateOpsItem",
"ssm:DescribeOpsItems",
"ssm:CreateOpsItem",
"ssm:CreateResourceDataSync",
"ssm:DeleteResourceDataSync",
"ssm:ListResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "*"
}
]
}
```
------
A seconda dell'applicazione di identità utilizzata nell'organizzazione, è possibile selezionare una seguenti opzioni per configurare l'accesso degli utenti.
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in: AWS IAM Identity Center
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
### Limitazione dell'accesso a OpsItems mediante tag
È inoltre possibile limitare l'accesso a OpsItems utilizzando una policy IAM inline che specifica i tag. Ecco un esempio che specifica una chiave tag di *Dipartimento* e un valore di tag di *Finanza*. Con questo criterio, l'utente può solo chiamare l'operazione *GetOpsItem*API per visualizzare OpsItems i tag precedentemente contrassegnati con Key=Department e Value=Finance. Gli utenti non sono in grado di visualizzare qualsiasi altro OpsItems.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem"
],
"Resource": "*"
,
"Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
}
]
}
```
------
Ecco un esempio che specifica le operazioni API per la visualizzazione e l'aggiornamento degli OpsItems. Questa policy specifica inoltre due set di coppie chiave-valore di tag: Department-Finance e Project-Unity.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ssm:GetOpsItem",
"ssm:UpdateOpsItem"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ssm:resourceTag/Department":"Finance",
"ssm:resourceTag/Project":"Unity"
}
}
}
]
}
```
------
Per ulteriori informazioni sull'aggiunta di tag a un OpsItem, consulta [Crea OpsItems manualmente](OpsCenter-manually-create-OpsItems.md).